Professional Documents
Culture Documents
ndice general
EXPERTOS NACIONALES QUE TOMARON PARTE EN EL EPHR 2010 AL ACTUALIZAR LOS INFORMES NACIONALES Y PROPORCIONAR INFORMACIN ADICIONAL .............................................................................................. 185 EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA INVESTIGACIN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD") .......................... 188 EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192
ndice detallado
PREFACIO .......................................................................................... 13 MENCIONES ........................................................................................ 15 A. INFORMACIN GENERAL SOBRE PRIVACIDAD .................................... 16
RESUMEN............................................................................................................................................ 16 DEFINICIN DE LA PRIVACIDAD ............................................................................................................... 16 FACETAS DE LA PRIVACIDAD................................................................................................................... 17 MODELOS DE PROTECCIN DE LA PRIVACIDAD..........................................................................................18
Leyes Integrales ....................................................................................................................................18 Leyes Sectoriales ..................................................................................................................................18 Autorregulacin .................................................................................................................................... 19 Tecnologas de la Privacidad ............................................................................................................. 19
SUPERVISIN Y COMISIONADOS DE PRIVACIDAD Y PROTECCIN DE DATOS ..................................................28 FLUJOS TRANSFRONTERIZOS DE DATOS Y PARASOS DE DATOS ................................................................ 29
Acuerdo de Puerto Seguro entre la Unin Europea y los Estados Unidos de Amrica ..... 31
SITIOS DE REDES SOCIALES Y COMUNIDADES VIRTUALES .......................................................................... 62 VIGILANCIA DE LAS COMUNICACIONES .................................................................................................... 66
Protecciones Legales y Derechos Humanos................................................................................ 66 Normas Legales y Tcnicas para la Vigilancia: Construyendo al Gran Hermano ............... 68 Vigilancia en Internet: Cajas Negras y Registradores de Golpes de Tecla ........................... 71 Datos de Transacciones y de Ubicacin ........................................................................................ 72 Conservacin de Datos ...................................................................................................................... 72 Ciberdelincuencia: Iniciativas Internacionales en la Armonizacin de la Vigilancia ........... 74 Consejo de Europa .............................................................................................................................. 74 Organizacin para la Cooperacin y el Desarrollo Econmicos ............................................. 76
SALVAGUARDAS DEMOCRTICAS ........................................................................................................... 119 PROTECCIN CONSTITUCIONAL ............................................................................................................ 119 PROTECCIN LEGAL ............................................................................................................................... 119 LA PRIVACIDAD EN LA PRCTICA.......................................................................................................... 120 LIDERAZGO ............................................................................................................................................. 120 CDULAS DE IDENTIFICACIN Y DATOS BIOMTRICOS ........................................................................ 121 INTERCAMBIO DE DATOS ........................................................................................................................ 121
VIGILANCIA VISUAL ................................................................................................................................... 121 INTERCEPTACIN DE COMUNICACIONES .............................................................................................. 122 RETENCIN DE DATOS DE COMUNICACIONES ..................................................................................... 122 ACCESO GUBERNAMENTAL A DATOS .................................................................................................... 122 VIGILANCIA EN EL CENTRO LABORAL .................................................................................................... 123 PRIVACIDAD MDICA .............................................................................................................................. 123 PRIVACIDAD FINANCIERA........................................................................................................................ 124 PRIVACIDAD FRONTERIZA ...................................................................................................................... 124 SUPERVISIN DE LA VIGILANCIA Y DE LOS SERVICIOS DE INTELIGENCIA ......................................... 124 ADN .......................................................................................................................................................... 125
III. PRIVACIDAD Y COMUNICACIONES ELECTRNICAS ............................................................................... 138 IV. LA DIRECTIVA DE CONSERVACIN DE DATOS .....................................................................................139 V. PROTECCIN DE DATOS DE CARCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIN EUROPEA ........ 142 VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ................................................................ 142
PROCESAMIENTO DE DATOS EN EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ......... 143
Escuchas, acceso a las comunicaciones e interceptacin ................................................................ 168 Legislacin sobre seguridad nacional ...................................................................................................... 170 Retencin de datos ........................................................................................................................................ 171 Bases de datos nacionales creadas para hacer cumplir ley y velar por la seguridad ............... 171 Acuerdos nacionales e internacionales sobre la divulgacin de datos .......................................... 172 Ciberdelincuencia........................................................................................................................................... 173 Infraestructura crtica ................................................................................................................................. 173 Comercio electrnico ................................................................................................................................... 173 Seguridad ciberntica .................................................................................................................................. 173 Marketing con base en el comportamiento en Internet y privacidad de los motores de bsqueda ......................................................................................................................................................... 173 Redes sociales y comunidades virtuales online ..................................................................................... 175 Seguridad para los jvenes en Internet .................................................................................................. 175 Vigilancia por videocmara ......................................................................................................................... 176 Privacidad de localizacin (GPS, telfonos mviles, servicios basados en la localizacin, etc.) .............................................................................................................................................................................177 Privacidad en los viajes (documentacin de identidad de viajero, biometra, etc.) y vigilancia fronteriza ......................................................................................................................................................... 178 Documento nacional de identidad y tarjetas inteligentes ................................................................. 178 Etiquetas RFID ................................................................................................................................................. 179
Privacidad Fsica ................................................................................................................................ 180 Privacidad en el Lugar de Trabajo ................................................................................................ 180 Privacidad Sanitaria y Gentica ..................................................................................................... 180
Privacidad Financiera ........................................................................................................................ 181 Administracin Electrnica y Privacidad ..................................................................................... 182 Gobierno Abierto ................................................................................................................................ 182 Otros Avances Recientes ................................................................................................................. 182
III. LABOR DE DEFENSA DE LA PRIVACIDAD DE LAS ORGANIZACIONES NO GUBERNAMENTALES ...................... 183 IV. OBLIGACIONES INTERNACIONALES Y COOPERACIN INTERNACIONAL...................................................... 183
Repblica de Letonia .........................................................................................................................187 Repblica de Lituania.........................................................................................................................187 Luxemburgo .........................................................................................................................................187 Macedonia .............................................................................................................................................187 Malta.......................................................................................................................................................187 Reino de Noruega ...............................................................................................................................187 Pases Bajos .........................................................................................................................................187 Polonia .................................................................................................................................................. 188 Repblica de Portugal ...................................................................................................................... 188 Rumania ............................................................................................................................................... 188 Reino de Suecia .................................................................................................................................. 188 Suiza ...................................................................................................................................................... 188 Reino Unido.......................................................................................................................................... 188 Repblica de Turqua........................................................................................................................ 188 Unin Europea .................................................................................................................................... 188
EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA INVESTIGACIN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD")........................... 188
Alemania ............................................................................................................................................... 189 Repblica de Austria ......................................................................................................................... 189 Reino de Blgica ................................................................................................................................ 189 Repblica de Bulgaria ....................................................................................................................... 189 Repblica de Chipre .......................................................................................................................... 189 Repblica Checa ................................................................................................................................. 189 Reino de Dinamarca .......................................................................................................................... 189 Repblica de Eslovaquia .................................................................................................................. 190 Repblica de Eslovenia ..................................................................................................................... 190 Reino de Espaa ................................................................................................................................ 190 Repblica de Estonia ........................................................................................................................ 190 Repblica de Finlandia...................................................................................................................... 190 Repblica de Francia ........................................................................................................................ 190 Grecia .................................................................................................................................................... 190 Repblica de Hungra ....................................................................................................................... 190 Repblica de Irlanda .......................................................................................................................... 191 Repblica de Italia .............................................................................................................................. 191 Repblica de Letonia ......................................................................................................................... 191 Repblica de Lituania......................................................................................................................... 191 Macedonia ............................................................................................................................................. 191 Malta....................................................................................................................................................... 191 Reino de Noruega ............................................................................................................................... 191 Pases Bajos ......................................................................................................................................... 191 Polonia .................................................................................................................................................. 192 Repblica de Portugal ...................................................................................................................... 192 Reino Unido.......................................................................................................................................... 192 Rumania ............................................................................................................................................... 192 Reino de Suecia .................................................................................................................................. 192 Suiza ...................................................................................................................................................... 192 Repblica de Turqua........................................................................................................................ 192 Unin Europea .................................................................................................................................... 192 Privacy International, Londres (Reino Unido)............................................................................. 192
Center for Media and Communication Studies, Central European University, Budapest (Hungra) ...............................................................................................................................................193 Electronic Privacy Information Center, Washington D.C. .........................................................193
Organizaciones No Gubernamentales .......................................................................................... 199 Informes de Derechos Humanos ................................................................................................... 199 Fuentes de privacidad adicionales de pases especficos ..................................................... 199
Unin Europea ................................................................................................................................................ 198 Consejo de Europa ....................................................................................................................................... 198 OCDE ................................................................................................................................................................. 198 APEC .................................................................................................................................................................. 198 Naciones Unidas ............................................................................................................................................. 198 Organizacin Mundial del Comercio ..........................................................................................................199 Cmara de Comercio Internacional ..........................................................................................................199 Grupo de Trabajo Internacional sobre Proteccin de Datos en Telecomunicaciones ...............199
10
Austria ............................................................................................................................................................. 200 Blgica............................................................................................................................................................. 200 Bulgaria ............................................................................................................................................................201 Croacia ..............................................................................................................................................................201 Dinamarca ........................................................................................................................................................201 Eslovaquia ........................................................................................................................................................201 Eslovenia...........................................................................................................................................................201 Espaa...............................................................................................................................................................201 Estonia .............................................................................................................................................................202 Finlandia ..........................................................................................................................................................202 Francia .............................................................................................................................................................202 Grecia ...............................................................................................................................................................202 Hungra ............................................................................................................................................................202 Irlanda .............................................................................................................................................................. 203 Italia .................................................................................................................................................................. 203 Letonia ............................................................................................................................................................. 203 Lituania ............................................................................................................................................................ 203 Luxemburgo ...................................................................................................................................................204 Macedonia .......................................................................................................................................................204 Malta .................................................................................................................................................................204 Noruega ...........................................................................................................................................................204 Pases Bajos ...................................................................................................................................................204 Polonia .............................................................................................................................................................204 Repblica Checa ............................................................................................................................................ 205 Rumania ........................................................................................................................................................... 205 Suecia ............................................................................................................................................................... 205 Suiza ................................................................................................................................................................. 205 Turqua ........................................................................................................................................................... 206 Reino Unido .................................................................................................................................................... 206
11
12
Prefacio
Cedric Laurant Consulting y Privacy International se complacen en presentar esta Gua de Privacidad para Hispanohablantes 2012. Este documento es una traduccin del ingls al espaol de una seleccin de las partes ms relevantes y ms actuales de dos informes: la ultima edicin de Privacy & Human Rights 20061 (Privacidad y Derechos Humanos 2006) y European Privacy and Human Rights 20102 (Privacidad y Derechos Humanos en Europa (EPHR) 2010). Privacy & Human Rights es un informe anual publicado por el Electronic Privacy Information Center3 (EPIC) y Privacy International que proporciona una vista general de temas claves de privacidad y proteccin de datos y revisa el estado de la privacidad en ms de 75 pases alrededor del mundo. El informe resume las protecciones legales, nuevos desafos, los asuntos y los acontecimientos importantes que relacionan a la proteccin de la intimidad y datos. Publicada anualmente desde 1998, esta investigacin ha llegado a ser el anlisis ms completo sobre la intimidad global jams antes publicado. European Privacy and Human Rights 2010 es un proyecto realizado en el ao 2010 por Privacy International, EPIC y el Centro de Medios de Comunicacin y Ciencias de la Comunicacin4 (CMCS) de la Central European University (CEU) de Budapest en Hungra, financiado por el Programa Especial "Derechos Fundamentales y Ciudadana" de la Comisin Europea (2007-2013).
1 2
13
14
Menciones
Por la preparacin de esta gua en espaol, agradecemos la participacin de:
Cdric Laurant (Cedric Laurant Consulting) Phol Paucar Korina Velzquez Ros Design Loc
La edicin de esta gua fue financiada por Cedric Laurant Consulting y la traduccin por Privacy International.
15
Resumen
La privacidad es un derecho humano bsico. Esta sirve de fundamento a la dignidad y a otros valores tales como la libertad de asociacin y la libertad de expresin. La privacidad se ha vuelto uno de los derechos humanos contemporneos ms importantes.5 La privacidad es reconocida alrededor del mundo en distintas regiones y culturas. Est protegida en la Declaracin Universal de Derechos Humanos, en el Pacto Internacional de Derechos Civiles y Polticos, y en muchos otros tratados internacionales y regionales de Derechos Humanos. Prcticamente todos los pases en el mundo incluyen el derecho a la privacidad en su Constitucin. Como mnimo, estas disposiciones incluyen los derechos de inviolabilidad del domicilio y el secreto de las comunicaciones. Recientemente las constituciones escritas incluyen derechos especficos para acceder y controlar la propia informacin personal. En muchos de los pases en los cuales la privacidad no est reconocida de manera explcita en su Constitucin, los tribunales han localizado tal derecho en otras normas. En muchos otros, los acuerdos internacionales que reconocen el derecho a la privacidad tal como el Pacto Internacional de Derechos Civiles y Polticos o el Convenio Europeo de los Derechos Humanos han sido adoptados en su legislacin.
Definicin de la Privacidad
De todos los Derechos Humanos incluidos en los catlogos internacionales, la privacidad es quizs el ms difcil de definir.6 Las definiciones de privacidad varan ampliamente de acuerdo al contexto y al medio. En muchos pases, el concepto ha sido fusionado con el de proteccin de datos, el cual entiende a la privacidad en trminos del manejo de la informacin personal. Fuera de este, ms bien estrecho contexto, la proteccin de la privacidad es frecuentemente vista como un medio para trazar la lnea de frontera hasta la cual la sociedad puede inmiscuirse en los asuntos personales.7 La falta de una nica definicin no debe entenderse como una falta de importancia del tema. Cmo asever un escritor,
Marc Rotenberg, Protecting Human Dignity in the Digital Age (UNESCO 2000). James Michael, Privacy and Human Rights 1 (UNESCO 1994). 7 Simon Davies, Big Brother: Britain's Web of Surveillance and the New Technological Order 23 (Pan 1996).
6 5
16
"en cierta forma, todos los derechos humanos no son ms que distintas facetas del derecho a la privacidad".8 Algunas perspectivas sobre la privacidad: En la dcada de los 1890, el futuro Juez de la Corte Suprema de los Estados Unidos de Amrica Louis Brandeis estructur un concepto de privacidad que lo institua como el derecho a ser dejado solo o ser dejado en paz. Brandeis sostena que la privacidad era una de las libertades ms apreciadas en una democracia, y le preocup el hecho que deba estar contemplada en la Constitucin.9 Robert Ellis Smith, editor del Privacy Journal, defini a la privacidad como "el deseo de todos de un espacio fsico donde podamos estar libres de interrupciones, intromisiones, vergenza, u obligacin de dar cuenta y el intento de controlar el tiempo y la forma de revelar nuestra informacin personal."10 De acuerdo a Edward Bloustein, la privacidad es un beneficio de la personalidad humana. Esta protege la inviolabilidad de la personalidad, la independencia individual, la dignidad y la integridad.11 Segn Ruth Gavison, tres elementos conviven en la privacidad: el secreto, el anonimato y la soledad. Es un estado que puede perderse, ya sea por eleccin de la persona en dicho estado o por medio de la accin de otra persona.12 La Comisin Calcutt en el Reino Unido afirm, "en ningn lugar encontramos una definicin legal, completamente satisfactoria, de la privacidad." Pero la Comisin estuvo convencida de que se poda definir legalmente y adopt la siguiente definicin en su primer informe sobre la privacidad: El derecho de la persona a ser protegida de la intromisin en su vida o asuntos personales, o aquellos de la familia, por medios fsicos directos o por medio de la publicacin de informaciones.13 El Prembulo de la Australian Privacy Charter (Carta de Privacidad Australiana) dispone, "Una sociedad libre y democrtica exige el respeto de la autonoma de la persona, y limita el poder tanto del Estado como de las organizaciones privadas de interponerse en dicha autonomaLa privacidad es un valor clave que sostiene a la dignidad humana y a otros valores claves tales como la libertad de asociacin y la libertad de expresinLa privacidad es un derecho humano fundamental y una expectativa razonable de toda persona."14
Facetas de la Privacidad
La privacidad puede ser dividida en los siguientes conceptos separados pero relacionados:
Volio, Fernando, "Legal Personality, Privacy and the Family" in Henkin (ed), The International Bill of Rights (Columbia University Press 1981). 9 Samuel Warren and Louis Brandeis, The Right to Privacy, 4 Harvard Law Review 193-220 (1890). 10 Robert Ellis Smith, Ben Franklin's Web Site 6 (Sheridan Books 2000). 11 Privacy as an Aspect of Human Dignity, 39 New York University Law Review 971 (1964). 12 Privacy and the Limits of Law, 89 Yale Law Journal 421, 428 (1980). 13 Report of the Committee on Privacy and Related Matters, Chairman David Calcutt QC, 1990, Cmnd. 1102, London: HMSO, pgina 7. 14 "The Australian Privacy Charter," published by the Australian Privacy Charter Group, Law School, University of New South Wales, Sydney (1994).
8
17
Privacidad de la Informacin, la cual incluye el establecimiento de reglas que gobiernen la recoleccin y manejo de datos personales tales como informacin crediticia, y registros mdicos y gubernamentales. Esta tambin se conoce como "proteccin de datos"; Privacidad corporal, la cual se refiere a la proteccin del ser fsico de las personas ante procedimientos invasivos tales como pruebas genticas, pruebas de drogas y registro de cavidades; Privacidad de las comunicaciones, la cual se refiere a la seguridad y privacidad del correo, las llamadas telefnicas, los correos electrnicos y otras formas de comunicacin; y la Privacidad territorial, que se refiere a la fijacin de lmites a la intromisin en los medios domsticos y otros tales como el centro laboral o el espacio pblico. Este incluye los allanamientos, la video vigilancia y el control de identificacin.
Leyes Integrales
En muchos pases alrededor del mundo, existe una ley integral que regula la recoleccin, uso y diseminacin de informacin personal tanto del sector pblico como del privado. Una entidad supervisora, entonces, garantiza su cumplimiento. Este es el modelo preferido por la mayora de los pases que han adoptado leyes de proteccin de datos y fue adoptada por la Unin Europea para garantizar el cumplimiento de su rgimen de proteccin de datos. Una variante de estas leyes, la cul es descrita como "modelo co-regulatorio", fue adoptado en Canad y Australia. Bajo este enfoque, la industria desarrolla reglas para la proteccin de la privacidad que son implementadas por ella misma y supervisadas por la agencia de privacidad.
Leyes Sectoriales
Algunos pases, como los Estados Unidos de Amrica, han evitado promulgar reglas integrales de proteccin de la privacidad a favor de leyes sectoriales que gobiernan, por ejemplo, los registros de alquiler de videos y la privacidad financiera. En tales casos, la aplicacin se alcanza a travs de una variedad de mecanismos. Un gran inconveniente con este enfoque es que necesita que nueva legislacin se introduzca con cada nueva tecnologa de modo que las protecciones frecuentemente se quedan rezagadas. La falta de protecciones legales para la privacidad de las personas en Internet en los Estados Unidos de Amrica es un ejemplo notable de sus limitaciones. Tambin existe el problema de la falta de una agencia supervisora. En muchos pases, las leyes sectoriales son utilizadas para complementar una legislacin integral proporcionando protecciones ms detalladas para ciertas categoras de informacin, tales como las de telecomunicaciones, los archivos de la polica o los registros de crditos al consumidor.
18
Autorregulacin
La proteccin de datos puede tambin alcanzarse, al menos en teora, a travs de distintas formas de autorregulacin, en las cuales las compaas y los organismos industriales establecen cdigos de prctica y se comprometen en polticas propias. Sin embargo, en muchos pases, especialmente en los Estados Unidos de Amrica, estos empeos han sido decepcionantes, con poca evidencia que las metas de los cdigos sean cumplidos con regularidad. La adecuacin y el cumplimiento son los principales problemas con estos enfoques. Los cdigos de la industria en muchos pases han tendido a proporcionar solamente protecciones dbiles y falta de implementacin.
Tecnologas de la Privacidad
Con el reciente desarrollo de sistemas basados en tecnologa, disponibles comercialmente, la proteccin de la privacidad se ha desplazado a las manos de los usuarios individuales. Los usuarios de Internet y de algunas aplicaciones fsicas pueden emplear una diversidad de programas y sistemas que proporcionan distintos grados de privacidad y seguridad de las comunicaciones. Estas incluyen el cifrado, el reenvo con remitentes annimos que transfieren mensajes de correo electrnico de manera annima, servidores proxy y dinero digital.15 Los usuarios deben percatarse que no todas las herramientas protegen eficazmente la privacidad. Algunas estn deficientemente diseadas mientras que otras podran estar diseadas para facilitar el acceso de las fuerzas del orden. (Para un debate sobre este tema, dirjase a la subseccin de Tecnologas de Mejora de la Privacidad).
El Derecho a la Privacidad
El reconocimiento de la privacidad est profundamente enraizado en la historia. Se puede hallar el reconocimiento de la privacidad en el Corn16 y en los proverbios de Mahoma.17 La Biblia cuenta con numerosas referencias a la privacidad.18 La ley Juda ha reconocido por mucho tiempo el concepto de estar libre de la mirada de los dems.19 Tambin hubo protecciones en la Grecia clsica y en la antigua China.20 Protecciones legales han existido en los pases Occidentales por cientos de aos. En 1361, la Ley de Jueces de Paz en Inglaterra hizo posible el arresto de los mirones y fisgones.21 En 1765, el Lord ingls Camden, al anular una orden judicial de registro de domicilio y confiscacin de documentos escribi, "Podemos decir con seguridad que no existe ley en este pas para justificar a los acusados por lo que hicieron; si la hubiera, esta destruira todo el bienestar de la sociedad, pues los documentos son a menudo la propiedad ms preciada que un hombre puede tener."22 El parlamentario William Pitt escribi, "El hombre ms pobre en su rstica vivienda puede ofrecer resistencia a todo el poder de la Corona. Su vivienda podra ser precaria; su techo podra temblar; el
El Electronic Privacy Information Center (EPIC) mantiene una lista de herramientas de privacidad en <http://epic.org/privacy/tools.html>. 16 an-Noor 24:27-28 (Yusufali); al-Hujraat 49:11-12 (Yusufali). 17 Volume 1, Book 10, Number 509 (Sahih Bukhari); Book 020, Number 4727 (Sahih Muslim); Book 31, Number 4003 (Sunan Abu Dawud). 18 Richard Hixson, Privacy in a Public Society: Human Rights in Conflict 3 (1987). See also, Barrington Moore, Privacy: Studies in Social and Cultural History (1984). 19 Vea Jeffrey Rosen, The Unwanted Gaze (Random House 2000). 20 Id. pgina 5. 21 James Michael, supra, at 15. Justices of the Peace Act, 1361 (Eng.), 34 Edw. 3, c. 1. 22 Entick contra Carrington, 1558-1774 All E.R. Rep. 45.
15
19
viento podra soplar a travs de este; las tormentas podran ingresar; la lluvia podra pasar pero el Rey de Inglaterra no puede entrar; todas sus fuerzas no se atreven a cruzar el umbral de la casa en ruinas."23 Varios pases desarrollaron protecciones especficas para la privacidad en los siglos subsiguientes. En 1776, el Parlamento Sueco promulg la Ley de Acceso a los Registros Pblicos que estableca que toda la informacin, en manos del gobierno, fuera utilizada para propsitos legtimos. Francia prohibi la publicacin de hechos privados y fij fuertes multas para los transgresores en 1858.24 El Cdigo Penal Noruego prohibi la publicacin de informacin relacionada a "asuntos personales o domsticos" en 1889.25 En 1890, los abogados estadounidenses Samuel Warren y Louis Brandeis escribieron un artculo trascendental sobre el derecho a la privacidad como una accin de responsabilidad civil, describiendo a la privacidad como el "derecho a ser dejado a solas."26 Posterior a la publicacin, este concepto de responsabilidad relacionada a la privacidad fue gradualmente recogida a lo largo de los Estados Unidos de Amrica como parte de su sistema judicial. El punto de referencia moderno sobre la privacidad a nivel internacional puede hallarse en la Declaracin Universal de Derechos Humanos de 1948, la cual especficamente protege la privacidad territorial y de las comunicaciones.27 El Artculo 12 establece que: Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputacin. Toda persona tiene derecho a la proteccin de la ley contra tales injerencias o ataques. Diversos tratados internacionales de derechos humanos reconocen especficamente a la privacidad como un derecho.28 El Pacto Internacional de Derechos Civiles y Polticos (PIDCP), en su Artculo 17,29 la Convencin Internacional de las Naciones Unidas sobre la Proteccin de Todos los Trabajadores Migratorios y sus Familias, en su
Speech on the Excise Bill, 1763. The Rachel affaire. Judgment of June 16, 1858, Trib. pr. inst. de la Seine, 1858 D.P. III 62. See Jeanne M. Hauch, Protecting Private Facts in France: The Warren & Brandeis Tort is Alive and Well and Flourishing in Paris, 68 Tulane Law Review 1219 (Mayo 1994). 25 Vea Prof. Dr. Juris Jon Bing, Data Protection in Norway, 1996, disponible en http://www.jus.uio.no/iri/forskning/lib/papers/dp_norway/dp_norway.html> [visitado en 2007]. 26 Warren and Brandeis, supra. 27 Declaracin Universal de los Derechos Humanos, adoptada y proclamada por la Resolucin 217 A (III) de la Asamblea General el 10 de diciembre de 1948, disponible en <http://www.un.org/es/documents/udhr/>. 28 Vea en general, Marc Rotenberg, ed., The Privacy Law Sourcebook: United States Law, International Law and Recent Developments (EPIC 2003). 29 Pacto Internacional de Derechos Civiles y Polticos, adoptado y abierto para firmas, ratificacin y adhesin por Resolucin 2200A (XXI) de la Asamblea General el 16 de diciembre de 1966, entrada en vigor el 23 de marzo de 1976, disponible en <http://www2.ohchr.org/spanish/law/ccpr.htm>.
24 23
20
Artculo 14,30 y la Convencin de las Naciones Unidas para los Derechos del Nio, en su Artculo 1631 adoptan el mismo lenguaje.32 A nivel regional, varios tratados hacen de estos derechos legalmente exigibles. El Artculo 8 del Convenio Europeo para la Proteccin de los Derechos Humanos y Libertades Fundamentales 1950 (CEDHLF) establece: 1 Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia. 2 No podr haber injerencia de la autoridad pblica en el ejercicio de este derecho sino en tanto en cuanto esta injerencia est prevista por la ley y constituya una medida que, en una sociedad democrtica, sea necesaria para la seguridad nacional, la seguridad pblica, el bienestar econmico del pas, la defensa del orden y la prevencin de las infracciones penales, la proteccin de la salud o de la moral, o la proteccin de los derechos y las libertades de los dems.33 El Convenio cre la Comisin Europea de Derechos Humanos y la Corte Europea de Derechos Humanos para supervisar su cumplimiento. Ambas han sido activas en el cumplimiento de los derechos a la privacidad y consecuentemente han observado las protecciones del Artculo 8 de manera extensiva y han interpretado sus limitaciones de manera restringida.34 La Comisin determin en 1976: Para diversos escritores anglosajones y franceses, el derecho al respeto a la "vida privada" es el derecho a la privacidad, el derecho a vivir, hasta el punto que uno desee, protegido de la publicidad.Sin embargo, en la opinin de la Comisin, el derecho al respeto a la vida privada no termina ah. Este comprende tambin, hasta cierto grado, el derecho a establecer y desarrollar relaciones con otros seres humanos, especialmente en el campo emocional para el desarrollo y realizacin de la propia personalidad.35 La Corte ha revisado las leyes de los Estados Miembros y ha impuesto sanciones a varios pases por no regular las escuchas telefnicas por parte de los gobiernos y de particulares.36 Esta tambin ha revisado casos de acceso de personas a su informacin
Convencin Internacional sobre la proteccin de los derechos de todos los trabajadores migratorios y de sus familias, aprobada por la Asamblea General por Resolucin 45/158 del 18 de diciembre de 1990, disponible en <http://www.unhcr.org/cgibin/texis/vtx/refworld/rwmain/opendocpdf.pdf?reldoc=y&docid=4c0f58af2>. 31 Convencin de los Derechos del Nio, adoptada y abierta a la firma, ratificacin e incorporacin por la Asamblea General por Resolucin 44/25 del 20 de noviembre de 1989, entrada en vigor 2 de septiembre de 1990, disponible en <http://www2.ohchr.org/spanish/law/crc.htm>. 32 Vea en general, Lee Bygrave, Data Protection Pursuant to the Right of Privacy in Human Rights Treaties, 6 International Journal of Law and Information Technology 247-284 (1998), disponible en <http://folk.uio.no/lee/oldpage/articles/Human_rights.pdf>. 33 Consejo de Europa, Convenio para la Proteccin de los Derechos Humanos y las Libertades Fundamentales, (ETS No: 005) abierto para firma el 4 de noviembre de 1950, entrada en vigor el 3 de septiembre de 1950, disponible en <http://www.echr.coe.int/NR/rdonlyres/1101E77A-C8E1-493F-809D800CBD20E595/0/ESP_CONV.pdf>. 34 Nadine Strossen, Recent United States and International Judicial Protection of Individual Rights: A Coparative Legal Process Analysis and Proposed Synthesis, 41 Hastings Law Journal 805 (1990). 35 X contra Iceland, 5 Eur. Comm'n H.R. 86.87 (1976). 36 European Court of Human Rights, Case of Klass and Others: Judgment of 6 September 1978, Series A No. 28 (1979). Malone v. Commissioner of Police, 2 All E.R. 620 (1979). Vea la Nota, Secret Surveillance and the European Convention on Human Rights, 33 Stanford Law Review 1113, 1122 (1981).
30
21
personal en archivos gubernamentales para garantizar que existen procedimientos adecuados con este propsito.37 Esta ha hecho extensivas las protecciones del Artculo 8 ms all de las acciones gubernamentales a aquellas ejecutadas por particulares donde pareca que el gobierno debi haber prohibido dichas acciones.38 Otros tratados regionales estn tambin empezando a ser utilizados para proteger la privacidad. El Artculo 11 de la Convencin Americana sobre Derechos Humanos estipula el derecho a la privacidad en trminos similares a los de la Declaracin Universal.39 En 1965, la Organizacin de Estados Americanos proclam la Declaracin Americana de los Derechos y Deberes del Hombre, la cual estableci la proteccin de varios derechos humanos, entre ellos el de privacidad.40 La Corte Interamericana de Derechos Humanos ha empezado a ocuparse de problemas de privacidad en sus casos.
obtenida de manera justa y legal; utilizada slo para el especfico propsito original; adecuada, relevante y no excesiva con relacin a su propsito;
Judgment of 26 March 1987 (Leander Case). Id. pginas 848-49. 39 Suscrita el 22 de noviembre de 1959 entr en vigor el 18 de Julio de 1978, O.A.S. Treaty Series No. 40 O.E.A. Res XXX, adoptada por la Novena Conferencia de Estados Americanos, 1948 OEA/Ser/. L./V/I.4 Rev (1965). 41 Un excelente anlisis de estas leyes se encuentra en David Flaherty, Protecting Privacy in Surveillance Societies (University of North Carolina Press 1989). 42 ETS No. 108, Estrasburgo, 1981, disponible en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/convenios/comm on/pdfs/convenio_108_consejo_europa.pdf>. 43 OECD, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data" (1981), disponible en <http://www.oecd.org/document/18/0,3343,en_2649_201185_1815186_1_1_1_1,00.html>.
22
exacta y actualizada; accesible al sujeto; mantenida de forma segura; y destruida despus de que haya logrado su propsito.
Estos dos acuerdos han tenido un profundo efecto en la promulgacin de leyes alrededor del mundo. Casi treinta pases han suscrito la convencin del Consejo de Europa y muchos otros estn planeando hacerlo pronto. Las Directrices de la OCDE tambin han sido ampliamente utilizadas en la legislacin nacional, incluso fuera de los Estados Miembros de la OCDE.
23
Un concepto clave en el modelo europeo de proteccin de datos es su "exigibilidad." Los titulares de la informacin tienen derechos establecidos en normas explcitas. Todos los pases de la Unin Europea tienen un comisionado de proteccin de datos o una agencia encargada de hacer cumplir las normas. Se espera que los pases con los que Europa hace negocios precisen estipular un nivel similar de supervisin. Los principios bsicos establecidos por la Directiva son: el derecho a saber donde se originaron los datos; el derecho de tener rectificados los datos imprecisos; el derecho a un recurso ante la autoridad en el caso de un procesamiento ilegal de los datos; y el derecho a negar el permiso para la utilizacin de datos en algunas circunstancias. Por ejemplo, los individuos tienen el derecho sin cargo alguno de decidir no participar en la recepcin de material de mercadeo directo. La Directiva contiene protecciones reforzadas sobre el uso de datos personales sensibles relativos, por ejemplo, a la salud, la vida sexual o sus creencias religiosas o filosficas. En el futuro, el uso comercial o gubernamental de tal informacin en general requerir de un consentimiento "explcito e inequvoco" del titular de la informacin. La Directiva de 1995 impone la obligacin sobre los Estados Miembros de garantizar que la informacin personal correspondiente a ciudadanos europeos tenga el mismo nivel de proteccin cuando se exporte, y procese en pases fuera de la Unin Europea. Este requisito ha ocasionado una creciente presin fuera de Europa para aprobar leyes de privacidad. Aquellos pases que se rehsen a adoptar leyes adecuadas de privacidad seran incapaces de conducir la transmisin de cierto tipo de flujos de informacin con Europa, particularmente si estos involucran datos sensibles. En 1997, la Unin Europea complement la Directiva de 1995 con la introduccin de la Directiva de Privacidad de las Telecomunicaciones.45 Esta Directiva estableci protecciones especficas que cubren la telefona, la televisin digital, las redes mviles y otros sistemas de telecomunicaciones. sta impone una amplia gama de obligaciones a las empresas portadoras y proveedoras de servicios para asegurar la privacidad de las comunicaciones de los usuarios, incluyendo las actividades relacionadas a Internet. La norma cubre reas que, hasta entonces, haban cado en los vacios de las leyes de proteccin de datos. El acceso a los datos de facturacin fue severamente restringido, lo mismo que las actividades de mercadeo. Se requiri que la tecnologa de identificacin de llamadas incorpore una opcin para bloqueo por lnea del nmero de transmisin. Se requiri que la informacin recolectada en la entrega de una comunicacin se purgue una vez que fuese completada la llamada. En julio de 2000, la Comisin Europea expidi una propuesta para una nueva directiva sobre privacidad en el sector de las comunicaciones electrnicas. La propuesta fue introducida como parte de un paquete ms grande de directivas de telecomunicaciones dirigidas a reforzar la competencia dentro del mercado europeo de las comunicaciones electrnicas. Como se propuso originalmente, la nueva directiva habra reforzado los derechos a la privacidad de los individuos por medio de la ampliacin de las protecciones que ya estaban en vigor para las telecomunicaciones a una categora ms amplia, y ms tecnolgicamente neutral de "comunicaciones electrnicas." Sin embargo, durante el proceso, el Consejo de Ministros empez a presionar por la inclusin de unas disposiciones de retencin de datos, que requeran a los Proveedores
Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de Diciembre de 1997 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las telecomunicaciones (Directiva), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0001:ES:PDF>.
45
24
del Servicio de Internet y a los operadores de telecomunicaciones el almacenar registros de todas las llamadas telefnicas, correos electrnicos, faxes, y actividad en Internet para propsitos de mantenimiento del orden pblico. Estas propuestas fueron fuertemente resistidas por la mayora de los miembros del Parlamento. En julio de 2001, la Comisin de las Libertades Civiles del Parlamento Europeo aprob el borrador de la directiva sin la retencin de datos, estableciendo que: La Comisin de las Libertades Civiles (Comisin LIBE) se expres a favor de una regulacin estricta del acceso a datos personales de los ciudadanos, tales como el trfico de las comunicaciones y la ubicacin de datos, por parte de las fuerzas del orden. Esta decisin es trascendental debido a que de esta manera el Parlamento Europeo bloquea los esfuerzos realizados por los Estados de la Unin Europea en el Consejo para poner a sus ciudadanos bajo una generalizada y omnipresente vigilancia, siguiendo el modelo Echelon. Sin embargo, luego de los eventos del 11 de septiembre, el clima poltico cambi y el Parlamento estuvo bajo presin creciente por parte de los Estados Miembros para adoptar la propuesta del Consejo sobre la retencin de datos. El Reino Unido y los Pases Bajos, en particular, cuestionaron si las normas de privacidad propuestas todava iban en la direccin de "un justo balance entre la privacidad y las necesidades de las fuerzas del orden a la luz de combate contra el terrorismo."46 El Parlamento resisti firme y hasta algunas semanas antes del voto final del 30 de mayo de 2002, la mayora de los Miembros del Parlamento se opusieron a cualquier forma de retencin de datos. Finalmente, despus de mucha presin por parte del Consejo de Europa y de los gobiernos de la Unin Europea, y una buena labor de cabildeo por parte de dos miembros espaoles del Parlamento Europeo,47 los dos principales partidos (PPE y PSE, los partidos de centro derecha y de centro izquierda respectivamente) alcanzaron un acuerdo para votar en favor de la posicin del Consejo. El 25 de junio de 2002 el Consejo de la Unin Europea adopt la Directiva de Privacidad y de Comunicaciones Electrnicas tal como se vot en el Parlamento.48 Bajo los trminos de la nueva Directiva, los Estados Miembros podran ahora aprobar leyes autorizando la retencin de los datos de trfico y de ubicacin de todas las comunicaciones que ocurran a travs de telfonos mviles, el servicio de mensajes cortos (SMS), telfonos fijos, faxes, correos electrnicos, canales de conversacin, Internet, o cualquier otro mecanismo de comunicacin electrnica. Tales requerimientos pueden ser implementados para propsitos que varen desde la seguridad nacional hasta la prevencin, investigacin y procesamiento de infracciones criminales. El 15 de marzo de 2006, el Consejo de la Unin Europea adopt una Directiva sobre Retencin obligatoria de Datos de trfico de Comunicaciones, la cual exige a los Estados Miembros requerir a los proveedores de comunicaciones a retener datos de comunicaciones por un periodo entre 6 meses a 2 aos. Los Estados Miembros tuvieron plazo hasta el 16 de septiembre de 2007 para trasladar las exigencias de la Directiva en
Jelle van Buuren, "Telecommunication Council Wants New Investigation Into Privacy Rules," Heise Online, 17 de octubre de 2001. 47 Respectivamente, los Miembros del Parlamento Europeo Ana Palacio Vallelersundi y Elena Paciotti, miembros del PPE (Partido Popular Europeo/Democratacristianos) y PSE (Socialdemcratas) partidos polticos. 48 Directiva 2002/58/CE del Parlamento Europeo y del Consejo del 12 de Julio de 2002 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas (Directiva sobre privacidad y comunicaciones electrnicas), disponible en <http://www.eurowind.net/Sitio2004/LOPD/Descargas/Directiva-2002-58-CE.pdf>.
46
25
leyes nacionales; sin embargo, una postergacin de 18 meses, hasta marzo de 2009, est disponible. Diecisis de los 27 Estados Miembros de la Unin Europea han declarado que postergarn la implementacin de la retencin de datos de trfico de Internet por el periodo adicional.49 La implementacin de la Directiva de Retencin de Datos continua siendo controversial. En otras reas, la Directiva de Privacidad y de Comunicaciones Electrnicas ha tenido un resultado ms favorable. Por ejemplo, aade nuevas definiciones y protecciones para las "llamadas," "comunicaciones," "datos de trfico" y "datos de ubicacin" con el fin de mejorar el derecho a la privacidad y el control en todos los tipos de procesamiento de datos de los consumidores. Estas nuevas disposiciones aseguran la proteccin de toda la informacin ("trfico") transmitida a travs de Internet, prohbe el mercadeo comercial no solicitado por correo electrnico ("correo comercial no solicitado o spam") sin previo consentimiento, y protege a los usuarios de telfonos mviles del rastreo y la vigilancia de su ubicacin precisa. La directiva tambin les da a los abonados a todos los servicios de comunicacin electrnica (tales como el Sistema Global para Comunicaciones Mviles (GSM, en ingls) y el correo electrnico) el derecho a estar o no enlistados en un directorio pblico.
26
economas de la APEC que actualmente proporcionan poca proteccin de la privacidad (la mayora), y ayudar a encontrar un balance regional entre la proteccin de la privacidad y los beneficios econmicos del comercio que involucra datos personales. El aspecto negativo es que a la vez presenta peligros potenciales considerables a largo plazo para la proteccin regional de la privacidad si este se vuelve un medio por el cual las economas del APEC acepten una norma de segunda categora. A nivel mundial, un alto estndar de la norma de APEC podra ser un medio para resolver los problemas internacionales de exportacin de datos, pero un bajo estndar de la norma de APEC podra arraigar una confrontacin sobre la privacidad entre Europa y el Asia-Pacfico. La historia de la iniciativa de la APEC hasta la fecha muestra que los peligros son tan grandes como los potenciales beneficios, pero un resultado valioso para la proteccin de la privacidad todava es posible. Las crticas a los Principios de la APEC enfatizan que estos ni siquiera alcanzan el nivel de la norma de la OCDE de hace ms de 20 aos, en tanto que debera incluir algunos refuerzos significativos donde las directrices de la OCDE actualmente son muy dbiles.54 Tanto la Australian Privacy Foundation (APF) como la Asian Pacific Privacy Charter Council (APPCC)55 han identificado56 muchas debilidades importantes.57 El Sub-Grupo de Privacidad esta tambin considerando elaborar Mecanismos de Implementacin, los cuales en sus primeros borradores (Versin 3) tenan debilidades cardinales en comparacin con anteriores instrumentos internacionales de privacidad.58 Estas propuestas iniciales generan dudas sobre si el proceso seguido por la APEC ser capaz o no de proteger adecuadamente los derechos humanos en toda la regin AsiaPacfico.
27
de Amrica Latina, adems de Espaa y Portugal, hicieron hincapi en la necesidad de implementar medidas de armonizacin para la proteccin de datos personales que podran permitir el libre flujo de informacin, por tanto facilitar el comercio. Los diferentes niveles de proteccin de datos en Amrica Latina y Europa son un obstculo para las actividades econmicas que requieran un flujo constante de informacin, y particularmente debido a que muy pocos pases de Latinoamrica cuentan con legislacin en esta rea. Las directrices y principios bsicos de la proteccin de datos que son tradicionalmente utilizados en los acuerdos internacionales en el rea, tales como los principios vinculados al propsito y la calidad de los datos, y los derechos de acceso, correccin, cancelacin y oposicin de los titulares de los datos, fueron establecidos y se acord que estos seran traspuestos a leyes nacionales.59
28
Tailandia, Alemania y el Reino Unido. A nivel sub-nacional, muchos de los Comisionados Alemanes de Provincias (Lnder, en alemn) han recibido recientemente poderes de comisionado de informacin, y la mayora de las agencias provinciales de Canad se ocupan tanto de la proteccin de datos como de la libertad de informacin. Un problema importante en muchas agencias alrededor del mundo es la falta de recursos para conducir adecuadamente la supervisin y la aplicacin. Muchos son agobiados con los sistemas de licenciamiento, que utilizan muchos de sus recursos. Otros tienen mucho trabajo atrasado relacionado a quejas o son incapaces de conducir un nmero importante de investigaciones. Muchos de los que se iniciaron con financiamiento adecuado encuentran que sus presupuestos han sido recortados unos cuantos aos despus. La independencia tambin es un problema. En muchos pases, la agencia est bajo el control del brazo poltico del gobierno o es parte del Ministerio de Justicia y no tiene el poder o el deseo de fomentar la privacidad o de criticar propuestas invasivas de la privacidad. En Japn y en Tailandia, la agencia de supervisin est bajo el control de la Oficina del Primer Ministro. En Tailandia, el director fue transferido en 2000 despus de los conflictos con la Oficina del Primer Ministro. En 2001, Eslovenia enmend su Ley de Proteccin de Datos con objeto de establecer una autoridad supervisora independiente y de ese modo garantizar el cumplimiento de la Directiva de Proteccin de Datos. Esta fue anteriormente responsabilidad del Ministro de Justicia. Finalmente, en algunos pases que no cuentan con una oficina separada, el rol de investigacin y cumplimiento de las leyes se realiza por parte de un Defensor del Pueblo especializado en derechos humanos o por parte de un parlamentario oficial.
29
rehsan a adoptar significativas leyes de privacidad sern incapaces de conducir cierto tipo de transferencia de informacin con Europa, particularmente si sta involucra datos sensibles. La resolucin sobre el sistema de proteccin de la privacidad de un tercer pas es expedida por la Comisin Europea. El principio dominante en este proceso de determinacin es que el nivel de proteccin en el pas receptor debe ser "adecuado" en vez de "equivalente." Por tanto, se espera un alto nivel de proteccin de parte del tercer pas, aunque los dictados precisos de la Directiva no necesitan ser acatados. El 26 de julio de 2000, la Comisin Europea dictamin que Suiza y Hungra provean una "adecuada" proteccin a la informacin personal y por tanto todas las trasferencias de informacin personal a estos pases podra continuar.61 En enero de 2002, la Comisin Europea reconoci que la Ley Canadiense de Proteccin de Informacin Personal y Documentos Electrnicos (PIPEDA, en ingls), provee proteccin adecuada para determinadas transferencias de datos personales desde la Unin Europea a Canad. La decisin de la Comisin sobre lo adecuado de una legislacin no cubre los datos personales que poseen el sector federal o los organismos provinciales o la informacin en poder de organizaciones personales y utilizadas para propsitos no comerciales, tales como datos en manos de organizaciones de caridad o recolectadas en el contexto de una relacin laboral.62 En 2003, la Comisin dictamin que las leyes de proteccin de datos de la Argentina eran adecuadas, y lo mismo se dictamin para las leyes de Guernsey.63 En 2004, la Comisin estim adecuadas las leyes de proteccin de datos de la Isla de Man.64 La Comisin est actualmente examinando los esquemas de proteccin de la privacidad en muchos pases que no pertenecen a la Unin Europea, entre ellos Nueva Zelanda, Australia, y China (Hong Kong). Otra manera posible de proteger la privacidad de la informacin transferida a pases que no proveen una "adecuada proteccin" es el confiar en un contrato privado que contenga clusulas contractuales estndar de proteccin de datos. Este tipo de contratos obligara al procesador de datos a respetar las prcticas de informacin justas, tales como el derecho a ser avisado, al consentimiento, al acceso y a recursos legales. En el caso de transferencia de datos desde la Unin Europea, el contrato tendra que cumplir con la prueba estndar de "adecuacin", con el fin de satisfacer la Directiva de Proteccin de Datos.65 Diversos modelos de clusulas que podran ser incluidas en tales contratos fueron esbozados en un estudio conjunto del Consejo de Europa, la Comisin Europea y la Cmara Internacional de Comercio.66 En un informe de junio de 2000 (ver ms
Vea European Commission Press Release, "Data protection: commission adopts decisions recognizing adequacy of regimes in United States, Switzerland and Hungary," 27 de Julio de 2000. 62 Decisin de la Comisin del 20 de diciembre de 2001, Diario Oficial de las Comunidades Europeas L 2/13, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:002:0013:0016:ES:PDF>. 63 Decisin de la Comisin C(2003) 1731 del 30 de junio de 2003 - OJ L 168, 5.7.2003, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/decision-c2003-1731/decisionargentine_es.pdf>; Decisin de la Comisin del 21 de noviembre de 2003 relativa a la carcter adecuado de la proteccin de los datos personales en Guernsey - OJ L 308, 25.11.2003, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:308:0027:0028:ES:PDF>. 64 Decisin de la Comisin 2004/411/CE del 28 de abril de 2004 relativa al carcter adecuado de la proteccin de los datos personales en la Isla de Man pgina 48, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:151:0052:0055:ES:PDF>. 65 Vea European Union, DG Justice, "International transfers", disponible en http://ec.europa.eu/justice/data-protection/document/international-transfers/index_en.htm>. 66 Model contract to ensure equivalent protection in the context of transborder data flows with explanatory report (1992). Study made jointly by the Council of Europe, the Commission of the European Communities and International Chamber of Commerce (Estudio Conjunto del Consejo de Europa, de la Comisin de las Comunidades Europeas y de la Cmara Internacional de Comercio) (2 de noviembre de
61
30
abajo), el Parlamento Europeo acus a la Comisin Europea de una "seria omisin" al fracasar en elaborar un borrador de clusulas contractuales estndar que los ciudadanos europeos podran invocar en las cortes de terceros pases antes de que la Directiva de Datos entrara en vigor.67 El informe recomendaba que ste se hiciera antes del 30 de septiembre de 2000.68 En julio de 2001, la Comisin public una decisin final aprobando la norma de las clusulas contractuales.69 Durante el procesamiento del borrador, los Estados Unidos de Amrica criticaron los contratos estndar como "excesivamente gravosos" e "incompatibles con las operaciones en la realidad."70 La transferencia de registros de viaje, vinculados a ciudadanos europeos, al gobierno de los Estados Unidos de Amrica, gener preocupacin particular debido a que todava no ha habido una determinacin acerca de que los Estados Unidos de Amrica proporcionen un nivel adecuado de proteccin de datos. El Consejo Europeo recientemente adopt un acuerdo entre la Unin Europea y los Estados Unidos de Amrica en relacin a la transferencia de informacin de los registros de nombres de pasajeros de todos los viajeros de vuelos que tengan como origen la Unin Europea y que aterricen en los Estados Unidos de Amrica.71 El acuerdo ha sido recibido con duras crticas por parte del Parlamento Europeo.72
Acuerdo de Puerto Seguro entre la Unin Europea y los Estados Unidos de Amrica
Aunque la Comisin nunca emiti una opinin formal sobre lo adecuado de la proteccin de privacidad en los Estados Unidos de Amrica, hubo seras dudas sobre si
1992). Disponible en <http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/ModelContract_1992.pdf>. 67 Resolucin del Parlamento Europeo sobre el Borrador de la Decisin de la Comisin sobre la Adecuacin de la Proteccin Prevista por los Principios de Privacidad de Puerto Seguro y las Preguntas ms Comunes relacionadas, publicado por el Departamento de Comercio de los Estados Unidos, disponible en <http://epic.org/privacy/intl/EP_SH_resolution_0700.html>. 68 Para una gua general sobre el rol de los contratos revise el Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de la Unin Europea, "Transferencia de datos personales a terceros pases: Aplicacin de los Artculos 25 y 26 de la directiva sobre proteccin de datos de la Unin Europea," 24 de julio de 1998, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_es.pdf>. 69 La Comisin Aprueba la Norma de las Clusulas Contractuales para la Transferencia de Datos a Pases que no pertenezcan a al Unin Europea, Comunicado de Prensa del Directorio de Mercado Interno, 18 de julio de 2001, disponible en <http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses2.htm> [visitado en 2007]. 70 "Bush Administration Criticizes European Union Privacy Rules," EPIC Alert 8.06, 29 de marzo de 2001 <http://www.epic.org/alert/EPIC_Alert_8.06.html>. 71 Decisin 2007/551/PESC/JAI del Consejo de 23 de julio de 2007 relativa a la firma en nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados unidos (Acuerdo PNR 2007), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016:0017:ES:PDF>. Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR). Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>. Un acuerdo de 2004 sobre la misma materia fue declarado invlido por el Tribunal de Justicia Europeo en 2006. Vea Parlamento contra Consejo, C-317/04 and C-318/04, 72 Resolucin conjunta sobre el Acuerdo PNR con los Estados Unidos de Amrica. 10 de julio de 2007, disponible en <http://quintessenz.org/doqs/000100003894/2007_07_11_EUparl_PNR_joint%20resolution.pdf>.
31
el enfoque de privacidad sectorial y de autorregulacin de los Estados Unidos pasara los estndares sobre adecuacin fijada por la Directiva. La Unin Europea comision a dos eminentes profesores de leyes de los Estados Unidos, quienes escribieron un informe detallado sobre el estado de las protecciones de privacidad en los Estados Unidos de Amrica y sealaron los mltiples vacos en sus normas de proteccin.73 Los Estados Unidos de Amrica cabildearon intensamente en la sede de la Unin Europea y en sus pases miembros para que stos encontraran adecuado su sistema. En 1998, los Estados Unidos de Amrica empezaron a negociar un acuerdo de "Puerto Seguro" con la Unin Europea con el fin de garantizar la transmisin transfronteriza continua de datos personales. La idea del "Puerto Seguro" fue que las compaas de los Estados Unidos voluntariamente se podran autocertificar para adherirse a un conjunto de principios de privacidad elaborados por el Departamento de Comercio de los Estados Unidos y la Junta Directiva de Mercado Interno de la Comisin Europea. Estas compaas contaran entonces con una presuncin de adecuacin y podran continuar recibiendo datos personales desde la Unin Europea. Las negociaciones sobre la elaboracin de los principios de Puerto Seguro duraron cerca de dos aos y estuvieron sujetas a cidas crticas por parte de defensores de la privacidad y de los consumidores.74 A inicios de julio, el Parlamento Europeo aprob una enrgica resolucin en la que se sealaba que el acuerdo deba ser renegociado con el fin de proveer una adecuada proteccin.75 El 26 de julio de 2000, la Comisin aprob el acuerdo.76 Sin embargo, la Comisin, prometi reabrir las negociaciones sobre el acuerdo si los recursos disponibles para los ciudadanos europeos resultaban inadecuados. A los Estados Miembros de la Unin Europea se les dio 90 das para poner en vigor la decisin de la Comisin y las compaas de los Estados Unidos de Amrica empezaron a adherirse al Acuerdo de Puerto Seguro en noviembre de 2000. Existe un periodo de gracia indeterminado para las compaas signatarias de los Estados Unidos para implementar los principios. Los principios requieren a todas las organizaciones signatarias el proveer a las personas una notificacin "clara y inequvoca del tipo de informacin que recolectan, el propsito para el cual podra ser utilizado, y cualquier tercero a quien esta informacin podra ser revelada. Esta notificacin debe ser dada al momento de la recoleccin de cualquier informacin personal o "posteriormente tan pronto como sea posible." Las personas deben tener la posibilidad de escoger (excluirse) en la recoleccin de datos cuando la informacin vaya a ser revelada a un tercero o utilizada para un propsito incompatible. En el caso de informacin sensible, los individuos deben necesariamente consentir (aceptar) expresamente la recoleccin. Las organizaciones que deseen transferir datos a terceros pueden hacerlo si el tercero se suscribe al acuerdo de Puerto Seguro o si este tercero firma un acuerdo para proteger los datos. Las organizaciones deben tomar precauciones razonables para proteger la seguridad de la informacin ante la prdida, mal uso y acceso no autorizado, revelacin, alteracin y destruccin. Las
Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law (Michie 1996). Vea p.ej., los Comentarios Pblicos Recibidos por del Departamento de Comercio de los Estado Unidos en Respuesta a los Documentos de Puerto Seguro 5 de abril de 2000. Disponible en <http://www.ita.doc.gov/td/ecom/Comments400/publiccomments0400.html>. 75 Resolucin del Parlamento Europeo, supra. 76 Decisin de la Comisin sobre la adecuacin de la proteccin conferida por los principios de puerto seguro. Principio de Privacidad y Preguntas Frecuentes relacionadas formuladas por el Departamento de Comercio de los Estados Unidos de Amrica, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
74 73
32
organizaciones deben proveer a las personas el acceso a cualquier informacin personal que estas tengan sobre ellas, con la opcin de corregir, enmendar, o borrar dicha informacin cuando esta sea inexacta. Este derecho slo se otorgar si la carga o el costo de proveer el acceso a la informacin no sean desproporcionados en relacin con los riesgos a la privacidad de la persona o cuando los derechos de otras personas distintas a este no sean violados. En trminos de cumplimiento, las organizaciones deben proporcionar necesariamente el acceso a mecanismos de remediacin independientes, accesibles y con costos razonables que puedan investigar quejas y disponer indemnizaciones de daos. Estos deben necesariamente proporcionar procedimientos de seguimiento del cumplimiento y deben necesariamente cumplir con las sanciones por no acatar los principios. Los defensores de la privacidad y los grupos de consumidores tanto en los Estados Unidos de Amrica como en Europa son muy crticos con la decisin de la Comisin Europea de aprobar el acuerdo, el cual afirman, no cumplir con brindar a los ciudadanos europeos la adecuada proteccin a sus datos personales.77 El acuerdo descansa en un sistema auto regulatorio por el cual las compaas simplemente prometen no violar sus prcticas de privacidad declaradas. Existe poca labor de verificacin de cumplimiento o de evaluacin sistemtica de su observancia. La categora de Puerto Seguro se otorga al momento de la autocertificacin. No existe ningn derecho individual al cual recurrir o derecho a compensacin en caso de violacin de la privacidad. Existe un periodo de gracia indeterminado para las compaas signatarias de los Estados Unidos de Amrica para implementar los principios. El acuerdo slo se aplicar para las compaas supervisadas por la Comisin Federal de Comercio y por el Departamento de Transportes (excluyendo a los sectores financieros y de telecomunicaciones) y existen excepciones especiales otorgadas para la informacin de registros pblicos protegida por la legislacin de la Unin Europea. En febrero de 2002, la Comisin Europea public un informe de la operacin en la prctica del Acuerdo de Puerto Seguro entre los Estados Unidos de Amrica y la Unin Europea.78 Este fue el primer informe para evaluar el xito del acuerdo. Este concluy que todos los elementos esenciales del acuerdo estaban en orden y que exista una estructura para que los individuos pudieran presentar sus quejas si sentan que sus derechos haban sido violados. Sin embargo, el informe encontr que no haba suficiente transparencia entre las organizaciones que se han adherido al Acuerdo de Puerto Seguro y que no todos los habilitados para la resolucin de controversias, a cargo de hacer cumplir el Acuerdo de Puerto Seguro, cumplen en realidad con los principios de privacidad establecidos en el mismo acuerdo. Se esperaba que la Comisin publique una evaluacin completa del acuerdo en el 2003, pero el informe todava no ha sido publicado. En julio de 2002, el Grupo de Trabajo del Artculo 29 sobre Proteccin de Datos public un documento de trabajo sobre el funcionamiento del acuerdo. En este, el
Vea, p.ej. la antigua "TACD Statement on U.S. Department of Commerce Draft International Safe Harbor Privacy Principles and FAQs" (Doc Ecom-20-00), 30 de marzo de 2000. Disponible en <http://web.archive.org/web/20010208134255/http://www.tacd.org/ecommercef.html>. 78 Documento de trabajo de los servicios de la Comisin sobre la aplicacin de la Decisin N 520/2000/CE de la Comisin, de 26 de julio de 2000, con arreglo a la Directiva 95/46 del Parlamento Europeo y del Consejo, sobre la adecuacin de la proteccin conferida por los principios de puerto seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Amrica (Febrero de 2002). Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
77
33
Grupo de Trabajo expres su intencin de estudiar el acuerdo en mayor detalle con particular nfasis en los "posibles vacos entre los principiosy las prcticas de implementacin" y tambin "los requerimientos de transparencia a ser cumplidos por las organizaciones." El Grupo de Trabajo hizo un llamado a todas las autoridades, organizaciones y compaas interesadas a mejorar el cumplimiento y el conocimiento del Acuerdo.79 En junio de 2006, la Comisin inici una investigacin sobre la transferencia de datos financieros personales desde el consorcio bancario SWIFT con sede en Bruselas. Ante la solicitud del Departamento del Tesoro de los Estados Unidos de Amrica, SWIFT transmiti sistemticamente informacin sobre transacciones financieras de millones de clientes de bancos europeos.80 Al parecer el Departamento del Tesoro de los Estados Unidos de Amrica diriga peridicamente rdenes judiciales a SWIFT en los Estados Unidos de Amrica. La Comisin expres su sorpresa acerca de la exportacin de informacin de ciudadanos belgas a los Estados Unidos de Amrica y su revelacin a las autoridades de ese pas cada vez que una persona realizaba una transaccin de pago internacional.81 La Comisin afirm que estas prcticas violaban normas fundamentales de la legislacin de proteccin de datos belga y europea. Esta opinin posteriormente fue confirmada por una opinin del Grupo de Trabajo del Artculo 29.82 La Comisin recibi una carta del Primer Ministro de Blgica solicitando consejo sobre un posible acuerdo con los Estados Unidos de Amrica sobre la transferencia de datos SWIFT al Departamento del Tesoro de los Estados Unidos de Amrica. En su segunda opinin la Comisin le record al gobierno belga los principios fundamentales con relacin a las transferencias de datos personales entre Europa y los Estados Unidos de Amrica y le sugiri una serie de posibles acciones.83 En junio de 2007, el Consejo de Europa y los Estados Unidos de Amrica alcanzaron un acuerdo sobre la transferencia de informacin financiera personal desde la sede del SWIFT hacia los Estados Unidos de Amrica.84 La SWIFT se uni al Acuerdo de Puerto Seguro.85
Proyecto de documento de trabajo sobre funcionamiento del acuerdo de puerto seguro, Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, 11194/02/Es, 2 de julio de 2002.Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_es.pdf>. 80 <http://www.swift.com/home/index.page?lang=es>. 81 Decisin Nr. 37/2006, disponible en <http://www.privacycommission.be/fr/docs/Commission/2006/avis_37_2006.pdf> (en francs). 82 Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial Telecommunication SWIFT), 22 de noviembre de 2006. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>. 83 Opinin N 47/2006 del 20 de diciembre de 2006, disponible en <http://www.privacycommission.be/fr/docs/Commission/2006/avis_47_2006.pdf> (en francs). 84 Tratamiento y proteccin de datos personales exigidos por el Departamento del Tesoro dela sede de operaciones en Estados Unidos de Amrica de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) 28 de junio de 2007, disponible en <http://epic.org/privacy/pdf/swiftagmt-2007.pdf>. 85 SWIFT finaliza mejoras de transparencia y consigue adscribirse a Safe Harbor, 20 de Julio de 2007, disponible en <http://www.swift.com/about_swift/legal/compliance/statements_on_compliance/swift_completes_transp arency_improvements_and_files_for_safe_harbor/index.page?lang=es>.
79
34
35
crdito, carns de biblioteca, carns de servicio de salud, permisos de conducir e informacin del programa de beneficios del gobierno que podran ser todas ellas almacenadas en una misma cdula de identidad conjuntamente con una clave de acceso o un identificador biomtrico. Los gobiernos de Finlandia, Malasia y Singapur ya han experimentado con tales carns de identidad "inteligentes". Las propuestas para establecer una cdula de identidad nacional han generado siempre protestas en muchos pases. El Gobierno Laborista en el Reino Unido intent establecer una nueva cdula de identidad con un registro centralizado de informacin biomtrica. Despus de ms de 7 aos de debate y de una nueva ley promulgada, la cdula y el registro nacional fueron desmantelados y destruidos por el nuevo gobierno en el 2010. Las protestas masivas contra la Cdula Australiana en 1987 casi condujeron al colapso del gobierno.88 Australia est debatiendo actualmente legislacin para implementar la Cdula de Acceso, la cual se supone reemplazara a 17 distintas cdulas de identidad utilizadas para diversos beneficios gubernamentales, entre ellos los de discapacidad, desempleo, cuidados mdicos y de veteranos; pero los crticos la llaman cdula de identidad nacional.89 Los grupos tales como la Australian Privacy Foundation y Electronic Frontiers Australia estn luchando contra la implementacin de la Cdula de Acceso.90 Australia tambin est compilando una base de datos masiva, la cual incluye datos biomtricos, vinculados a documentos de identidad y documentos para no ciudadanos.91 En varios pases, estos sistemas han sido impugnados con xito sobre bases constitucionales de privacidad. En 1998, la Corte Suprema de Filipinas dispuso que un sistema nacional de cdulas de identidad, transgreda el derecho constitucional a la privacidad.92 En 1991, el Tribunal Constitucional de Hungra dictamin que una ley que crea un nmero de identificacin personal multiusos viola el derecho constitucional a la privacidad.93 La Constitucin Portuguesa de 1997 dispone que "la asignacin de un nico nmero nacional a cualquier ciudadano debe estar prohibida".94 En otros pases, la oposicin a las cdulas de identidad combinada con el alto costo econmico y otras dificultades logsticas de implementacin de los sistemas ha derivado en su retiro. Los proyectos de cdulas de identidad en Corea del Sur y en Taiwn tambin fueron detenidos despus de protestas generalizadas. En los Estado Unidos de
Graham Greenleaf, "The Australia Card: Towards a National Surveillance System," Law Society Journal of New South Wales, Volumen 25, Numero 9 (Octubre de 1987), disponible en <http://www2.austlii.edu.au/itlaw/articles/GGozcard.html>. 89 Australian Government's Access Card website, disponible en www.accesscard.gov.au> [visitado en 2007]; Sandra Rossi, "Future Uncertain for Australia's Smartcard," Computerworld Australia, 27 de marzo de 2007. Disponible en <http://www.itworldcanada.com/news/future-uncertain-for-australiassmartcard/00468>. 90 Australian Privacy Foundation http://www.privacy.org.au/Campaigns/ID_cards/HSAC.html; Electronic Frontiers Australia <http://www.efa.org.au/Issues/Privacy/accesscard.html>. 91 Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de Julio de 2007. Disponible en <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>. 92 Ople contra Torres, G.R. 127685, 23 de Julio de 1998, disponible en <http://www.lawphil.net/judjuris/juri1998/jul1998/gr_127685_1998.html> (sentencia de la Corte Suprema de Filipinas sobre el Sistema de Identificacin Nacional). 93 "Constitutional Court Decision No. 15-AB of 13 April 1991," disponible en <https://www.privacyinternational.org/article/hungarian-constitutional-court-decides-identity-numbers>. 94 Articulo 35 (5), Constitucin de la Repblica Portuguesa 7ma. Revisin constitucional aporbada en el 2005. Disponible en ingls en <http://app.parlamento.pt/site_antigo/ingles/cons_leg/Constitution_VII_revisao_definitive.pdf>.
88
36
Amrica los planes de convertir la licencia de conducir estatal en un sistema nacional de identificacin se han estancado debido a la frrea resistencia de una amplia coalicin de grupos de la sociedad civil.95 Aunque la Ley de Identificacin Real (REAL ID Act) fue probada en los Estados Unidos de Amrica en Mayo de 2005,96 los estados y las organizaciones pblicas se han revelado frente al plan.97 16 Estados han aprobado normativa que rechaza la Identificacin Real y tambin existen proyectos de ley en ambas cmaras legislativas de los Estados Unidos de Amrica que repeleran la Ley que crea el sistema nacional de identificacin.98 En este momento, parece improbable que la Identificacin Real sea implementada en este pas.
Biomtrica
La biomtrica es la identificacin o verificacin de la identidad de una persona con base en caractersticas fisiolgicas o de comportamiento.99 Esta informacin es utilizada para autenticar o verificar que una persona es la que dice ser (una coincidencia de uno a uno) por comparacin de las caractersticas previamente almacenadas con las nuevas caractersticas proporcionadas. Tambin puede utilizarse para propsitos de identificacin cuando las caractersticas nuevas se comparan con todas las caractersticas almacenadas (una coincidencia de uno a varios). La nueva tecnologa biomtrica intenta automatizar el proceso de identificacin o de verificacin convirtiendo a la caracterstica biomtrica en un algoritmo, la cual se utilizara entonces para propsitos de emparejamiento. Las tcnicas de emparejamiento o coincidencia computarizadas producen necesariamente falsos positivos, cuando una persona es identificada incorrectamente como alguien ms, o se dan falsos negativos, cuando una persona que se supone debe ser identificada por el sistema, no es correctamente identificada. Los dos rangos de errores son dependientes, por ejemplo la reduccin de los falsos positivos incrementar el nmero de falsos negativos. El nivel de tolerancia se ajusta dependiendo de la necesidad de seguridad de la aplicacin. Las ms populares formas de identificacin biomtrica son las huellas dactilares, o el escaneado de la retina/iris, la geometra de la mano, el reconocimiento de voz, y la digitalizacin (almacenamiento electrnico) de imgenes. La tecnologa est ganando inters por parte de los gobiernos y de las compaas debido a que, a diferencia de otras formas de identificacin tales como los carns o los documentos, sera ms difcil de alterar o falsificar con nuestros propios rasgos fsicos y de comportamiento. Sin embargo, importantes dudas quedan, sobre la efectividad de las tcnicas de emparejamiento biomtrico automtico, particularmente para aplicaciones a gran
Vea en general la pgina web de EPIC National ID Cards and REAL ID Act. Disponible en <http://epic.org/privacy/id_cards/>. 96 Ley de Identificacin Real (REAL ID Act), Public Law Nmero 109-13, 119 Stat. 231 (2005), disponible en <http://epic.org/privacy/id_cards/real_id_act.pdf>. 97 Sitio web de la Campaa Deten la IDentificacin Real (Stop REAL ID) <http://privacycoalition.org/stoprealid/>; EPIC y 24 Expertos en Privacidad y Tecnologa, Comentan sobre los Proyectos de Regulacin de la Identificacin Real, 8 de mayo de 2009, disponible en <http://epic.org/privacy/id_cards/epic_realid_comments.pdf>; American Civil Liberties Union <http://www.realnightmare.org/>. 98 Vea en general, la pgina web de EPIC sobre la Cdula Nacional de Identidad y la Ley de Identificacin Real (National ID Cards and REAL ID Act) en la seccin sobre Normatividad Estatal contra la Identificacin Real (State Anti-REAL ID Legislation) <http://epic.org/privacy/id_cards/#state>. 99 Vea en general la pgina web de EPIC sobre Identificadores Biomtricos (Biometric Identifiers) <http://epic.org/privacy/biometrics/>.
95
37
escala.100 Los crticos tambin alegan que una amplia utilizacin de la tecnologa de identificacin biomtrica puede remover el velo del anonimato o del seudo anonimato en la mayora de las transacciones diarias a travs de la creacin de un rastro electrnico de los movimientos de las personas y de sus hbitos.101 Planes biomtricos estn siendo implementados alrededor del mundo. La tecnologa es ampliamente usada en pequeos entornos para el control del acceso a lugares seguros tales como instalaciones nucleares o bvedas de bancos. Esta tambin est siendo utilizada cada vez ms para aplicaciones ms amplias tales como puntos de venta minoristas agencias del gobierno, centros de cuidado infantil, las fuerzas policiales y cajeros automticos. Varios pases han creado pasaportes biomtricos que tambin permiten el uso de la tecnologa de Identificacin por Radiofrecuencia (RFID). Espaa ha iniciado un programa nacional de toma de huellas dactilares para otorgar beneficios a los desempleados y derechos en centros de atencin mdica. Rusia ha anunciado planes para un sistema nacional electrnico de toma de huellas digitales para bancos. A los jamaiquinos se les solicita el someterse a la exploracin de sus huellas digitales en una base de datos antes de calificar para votar en las elecciones. En Francia y Alemania, se estn realizando pruebas con equipos que ponen la informacin de las huellas digitales en las tarjetas de crdito. Muchos fabricantes de computadoras estn considerando incluir lectores biomtricos en sus sistemas para propsitos de seguridad. Las autoridades y los defensores vinculados a la privacidad objetan cada vez ms el libre uso de la biomtrica para fines de identificacin. En marzo de 2006, el Supervisor Europeo de Proteccin de Datos Peter Hustinx critic el incremento en el uso de identificadores biomtricos y de bases de datos por parte de los gobiernos.102 Afirm que los identificadores de huellas dactilares y ADN son demasiado inexactos. Asimismo, hizo un llamado para una ms enrgica legislacin sobre proteccin de datos para estas grandes bases de datos. EPIC reiter estos riesgos, en sus comentarios a la Comisin Federal de Comercio durante una consulta en el 2007 sobre las Nuevas Direcciones de la Autenticacin de Identidad, recomendando a la Comisin la revisin de posibles soluciones o de medidas para mitigar estos problemas.103 La Comisionada de Informacin y Privacidad de Ontario, Dr. Ann Cavoukian, sugiri que los biomtricos pueden ser desplegados de manera que incremente la privacidad que minimice el potencial de vigilancia y abuso, maximice el control personal, y garantice plena funcionalidad de los sistemas en los cuales se estn utilizados datos biomtricos.104
Deutsche Bank Research, "Biometrics Hype and Reality," 22 de mayo de 2002, disponible en <http://www.dbresearch.com/PROD/999/PROD0000000000043270.pdf>. 101 Roger Clarke, "Biometrics and Privacy," 15 de abril de 2001, disponible en <http://www.rogerclarke.com/DV/Biometrics.html>. 102 Peter Hustinx, Supervisor Europeo de Proteccin de Datos, "Comments on the Communication of the Commission on Interoperability of European Databases" 10 de marzo de 2006, disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2006/06-03-10_Interoperability_EN.pdf>; Jo Best, Biometrics Unreliable, Says EU Privacy Head," CNET News.com, 15 de marzo de 2006 <http://news.cnet.com/2100-1029_3-6050024.html>. 103 Comisin Federal de Comercio de los Estados Unidos de Amrica, "Proof Positive: New Directions for ID Authentication," 23-24 de abril de 2007 <http://www.ftc.gov/bcp/workshops/proofpositive/index.shtml>; EPIC, Comentarios a la Comisin Federal de Comercio, 23de marzo de 2007, disponible en <http://epic.org/privacy/id_cards/epic_ftc_032307.pdf>. 104 Ann Cavoukian & Alex Stoianov, "Biometric Encryption: A Positive Sum Technology that Achieves Strong Authentication, Security AND Privacy," Comisionado de Informacin y Privacidad de Ontario, 14
100
38
Los problemas de privacidad tambin surgen con el uso de sistemas biomtricos durante tiempos de guerra. En julio de 2007, informes de prensa revelaron que las tropas de los Estados Unidos de Amrica estaban utilizando escneres mviles para obtener huellas dactilares, escaneados de ojos y otros datos personales de cientos de miles de iraques. Aunque el General David Petraeus, comandante de la Fuerza Multinacional en Iraq, afirm que el propsito era el de identificar insurgentes, las tropas de los Estados Unidos de Amrica estn interceptando a iraques en sus casas, puntos de control, centros laborales, y "en varios barrios dentro y alrededor de Bagdad, las tropas han ido de casa en casa recogiendo datos."105 En julio de 2007 en una carta al Secretario de Defensa Robert Gates, EPIC, Privacy International, y Human Rights Watch le hicieron saber que un nuevo sistema de identificacin biomtrica contraviene las normas internacionales de privacidad y podran conducir a futuras represalias y matanzas.106 Los grupos citaron el riesgo particular de exigencias de identificacin en regiones del mundo afectadas por divisiones tnicas o religiosas.107 Un ao antes, en julio de 2006, milicianos chiitas establecieron un punto de control falso y mataron hasta 50 sunitas despus de examinar sus documentos de identificacin. Los grupos tambin se refirieron a un informe del Consejo Cientfico de la Defensa del Pentgono de marzo de 2007 que afirmaba que el uso militar de datos biomtricos generaba preocupaciones sustanciales sobre la privacidad.108 El informe categoriz como particularmente invasivos los sistemas obligatorios en los cuales los registros incluyen datos fisiolgicos de ciudadanos y empleados, y que son recolectados por parte de una institucin del sector pblico, y son mantenidos en bases de datos por un periodo indeterminado. Sin embargo, esta es precisamente la clase de sistema de identificacin que actualmente opera en Iraq. En su informe de enero de 2007 el Consejo de Derechos Humanos, el Relator Especial de las Naciones Unidas advirti que una amplia creacin de perfiles antiterrorista, particularmente aquellos que incluyen datos sobre origen tnico, son susceptibles de abuso y violan las normas de no discriminacin y varios otros derechos humanos.109 La forma ms controversial biomtrica la identificacin del ADN se est beneficiando de la nueva tecnologa de exploracin que puede automticamente emparejar en minutos una muestra de ADN con las existentes en una gran base de datos.
de marzo de 2007, disponible en <http://www.ipc.on.ca/english/Resources/Discussion-Papers/DiscussionPapers-Summary/?id=608>. 105 Thomas Frank, "U.S. is Building Database on Iraqis," USA Today, 12 de Julio de 2007, pgina A1, disponible en <http://www.usatoday.com/news/world/iraq/2007-07-12-iraq-database_N.htm>. 106 Carta de EPIC, Human Rights Watch y Privacy International al Secretario de Defensa de los Estados Unidos de Amrica Robert Gates, 27 de julio de 2007, disponible en <http://epic.org/privacy/biometrics/epic_iraq_dtbs.pdf>. 107 Hussein Kadhim & Jenan Hussein, "Iraqis' Phony IDs Mask Links to Shiites, Sunni. McClatchy Newspapers, 24 de junio de 2007, disponible en <http://nl.newsbank.com/nlsearch/we/Archives?p_product=ST&p_theme=st&p_action=search&p_maxdocs=200&s_dispstring=Iraqi s%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%20AND%20date%28all%29&p_field_ad vanced-0=&p_text_advanced0=%28Iraqis%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%29&xcal_numdocs=20&p_p erpage=10&p_sort=YMD_date:D&xcal_useweights=no>. 108 Grupo de Trabajo del Consejo Cientfico de la Defensa de los Estados Unidos de Amrica, "Report on Defense Biometrics," marzo de 2007, disponible en <http://epic.org/privacy/biometrics/defscibd_0307.pdf>. 109 Martin Scheinin, Relator Especial de las Naciones Unidas sobre la Promocin y Proteccin de los Derechos Humanos y de las Libertades Fundamentales en la lucha contra el Terrorismo, "Informe al Consejo de Derechos Humanos de las Naciones Unidas," enero de 2007, disponible en <http://daccessdds-ny.un.org/doc/UNDOC/GEN/G07/105/10/PDF/G0710510.pdf?OpenElement>.
39
Las fuerzas policiales en muchos pases entre ellos Canad, Alemania, y los Estados Unidos han creado bases de datos nacionales de ADN. Las muestras son tomadas regularmente de un gran grupo de personas. Inicialmente, estos fueron individuos convictos por crmenes sexuales. Luego estas fueron ampliadas a personas convictas por otros crmenes violentos y luego a los detenidos. Ahora, muchas jurisdicciones estn recolectando muestras de todos los individuos arrestados, an por las infracciones menos significativas. El ex alcalde de Nueva York, Rudolf Giuliani, incluso propuso que fuera colectado el ADN de todos los nios al momento del nacimiento. En Australia, el Reino Unido y los Estados Unidos, la polica ha estado pidiendo que todos los individuos en un rea en particular voluntariamente proporcionen muestras o afronten el ser considerados sospechosos. El Fiscal General de los Estado Unidos Ashcroft ha testificado que ha solicitado al FBI el incremento de la capacidad de su base de datos de 1.5 millones a 50 millones de perfiles.110 Al mismo tiempo, los datos de ADN han sido utilizados como evidencia exculpatoria en muchos juicios penales. Ms de 200 personas condenadas a la pena capital en los Estados Unidos de Amrica han sido exoneradas como resultado de pruebas de ADN.111 Preguntas claves de poltica sobre el sistema de justicia penal se vinculan a la disponibilidad de fondos para permitir probar la inocencia.
Pasaportes Biomtricos
El Acta Patritica Estadounidense aprobada por el Congreso de los Estados Unidos de Amrica, despus de los eventos del 11 de septiembre de 2001, incluy el requerimiento de que el Presidente certificara un estndar de tecnologa biomtrica para su uso en la identificacin de extranjeros que busquen ser admitidos en los Estados Unidos de Amrica, dentro de dos aos. El calendario para su implementacin fue acelerado por otra norma, la poco conocida Ley de Reforma de Mejora de la Seguridad de las Fronteras 2002. Parte de esta segunda ley incluye la bsqueda de la cooperacin internacional con este estndar. El incentivo para la cooperacin internacional fue claro: "Para el 26 de octubre de 2004, para que un pas se considere elegible para la participacin en el programa de exencin de visado, su gobierno debe certificar que tiene un programa para expedir para sus ciudadanos, pasaportes capaces de ser ledos por mquinas, que estos sean resistentes a alteraciones y que incorporen identificadores biomtricos y de autenticacin que satisfagan los estndares de la Organizacin de la Aviacin Civil Internacional (OACI)." Estas leyes le dieron velocidad a los estndares que se estaban considerando en la OACI para los pases solicitantes de la exencin de visado (entre ellos muchos pases de la UE, Australia, Brunei, Islandia, Japn, Mnaco, Nueva Zelanda, Noruega, Singapur, y Eslovenia) para implementar un sistema biomtrico en sus Documentos de Viaje capaces de ser Ledos por Maquinas (MRTDs), es decir, los pasaportes. La falta de ello, presumiblemente, significara la remocin del programa. El desplazar la decisin a la OACI empuj a la poltica mucho ms all de los pases del Programa de Exencin de Visa, La OACI ya fija las normas internacionales para pasaportes y la OACI ha estado investigando los pasaportes biomtricos desde 1995. Desde entonces las tecnologas han cambiado lo suficiente como para permitir que el
Transcripcin del Fiscal General, Conferencia de Prensa Iniciativas ADN, 4 de marzo de 2002, Centro de Conferencias DOJ. 111 The Innocence Project (Proyecto Inocente) disponible en <http://www.innocenceproject.org/>.
110
40
reconocimiento facial, las huellas dactilares y el escaneado de iris sean considerados para su implementacin en pasaportes estndar. Los propsitos principales del uso de sistemas biomtricos, de acuerdo a la OACI, son los de permitir la verificacin ("confirmacin de la identidad por comparacin de detalles de identidad de las personas alegando ser un individuo especifico comparado con detalles previamente archivados sobre dicho individuo"112) y la identificacin ("la determinacin de la posible identidad por comparacin de los detalles de identidad de la persona que se presenta comparados con los detalles previamente archivados de cierto nmero de individuos"113). Los efectos benficos colaterales abarcan la informacin avanzada de los pasajeros a los puertos de entrada, y el rastreo electrnico del uso del pasaporte. En mayo de 2003, el reconocimiento facial emergi como el candidato principal. Problemas de Propiedad Intelectual impidieron que el escaneado del iris fuera aceptado; al tiempo que se crea que el reconocimiento facial era ms socialmente aceptado. Las mltiples aplicaciones de la biomtrica eran tambin consideradas, y permitidas. Aunque el uso de una sola tecnologa biomtrica por todos los Estados era preferible para la OACI para asegurar la interoperabilidad, "sin embargo, tambin se reconoce que algunos Estados pueden concluir que es deseable el utilizar dos sistemas biomtricos en el mismo documento."114 La Unin Europea (UE) ya est discutiendo el solicitar las huellas dactilares en los pasaportes. La OACI es consciente. Sin embargo, reconoce que existen temas contenciosos legales involucrados con la infraestructura para estos pasaportes, incluyendo la colisin entre los objetivos de un sistema biomtrico centralizado de ciudadanos y la proteccin de las leyes de privacidad, y con las "prcticas culturales." No slo esto involucra un almacn central de datos de huellas digitales y fotos (y de escneres de rostros) que pueden ser exploradas para compararlas con otra base de datos para propsitos distintos, sino que esta informacin sensible puede ser transferida a otros pases cuando se requiera verificacin en los controles de frontera. La OACI prev que esta informacin puede ser retenida por estos otros pases. En esencia, esto podra transformarse en una base de datos de informacin personal distribuida a nivel mundial. Algo que puede ser importante recordar al momento de la implementacin nacional es que, se permite cierta flexibilidad por parte de la OACI. Algunos estados pueden interpretar los estndares de la OACI para requerir bases de datos centralizadas.115 La OACI hace hincapi en una base de datos central que permita una confirmacin adicional de seguridad, pero no va tan lejos como para requerir tales sistemas. Puede ser interesante ver si los gobiernos nacionales retirarn esta opcin, o si ellos ms bien cambiarn sus leyes nacionales para permitir un almacenamiento centralizado, como se permite en otros documentos de la OACI. La UE ya est avanzando hacia un registro
Vease ICAO - Biometrics Deployment of Machine Readable Travel Documents ICAO TAG MRTD/NTWG Technical Report: Development and Specification of Globally Interoperable Biometric Standards for Machine Assisted Identity Confirmation using Machine Readable Travel Documents, Montreal: ICAO, 12 mayo 2003. 113 Ibid. 114 Ibid. 115 Vea en general OACI. Biomtrica Utilizacin de Documentos de Viaje capaces de ser Ledos por Mquinas ICAO TAG MRTD/NTWG Informe Tcnico: Desarrollo y Especificacin de Estndares Biomtricos Mundialmente Interoperativos para la Confirmacin de la Identidad Asistida por Mquina utilizando Documentos de Viaje capaces de ser Ledos por Mquinas, Montreal: OACI, 12 de mayo de 2003.
112
41
Huellas Dactilares
Las huellas dactilares son los identificadores biomtricos ms utilizados a nivel mundial. Los fabricantes de aparatos electrnicos han empezado a aadir escneres de huellas dactilares a las computadoras, discos duros, memorias USB, y otros, como un dispositivo de seguridad.116 En el otoo de 2006, Suecia prob un sistema que emparejaba a los viajeros areos con su equipaje a travs del uso de huellas dactilares.117 En enero de 2005, las propiedades de Walt Disney World empezaron a utilizar escneres de huellas dactilares como medio de rastrear a los clientes que ingresaban a sus parques temticos.118 Las huellas dactilares estn siendo cada vez ms utilizadas en las cdulas de identificacin.119 La toma de huellas dactilares a nios en edad escolar ha proliferado en el Reino Unido en medio de mucho debate. El uso generalizado en el Reino Unido contrasta con aquel de China (Hong Kong) y del resto de China, que han prohibido la toma de huellas dactilares de nios en edad escolar.120 En julio de 2007, la Agencia Britnica de Comunicaciones y Tecnologa Educativa (BECTA) public guas para los colegios del Reino Unido, BECTA Guidance on the Use of Biometric Systems in Schools (Guas BECTA sobre el uso de Sistemas Biomtricos en Colegios).121 La BECTA explic que la obtencin de huellas dactilares de nios en edad escolar se halla dentro de los alcances de la Ley de Proteccin de Datos de 1998, y que se debe tener cuidado si tales datos son obtenidos, y los colegios tiene el deber de garantizar que todo los datos personales que tienen se mantengan seguros.122 Al mismo tiempo, la Oficina del Comisionado de la Informacin del Reino Unido tambin emiti una gua sobre recoleccin de datos biomtricos de nios en edad escolar, los cuales pueden tener hasta 5 aos. La Oficina estuvo de acuerdo en que dicha recoleccin estaba dentro de los alcances de la Ley de Proteccin de Datos de 1998 y les comunic a los colegios que estos deben explicar las razones para introducir el sistema, cmo se utiliza la informacin personal y cmo se mantiene segura.123 Debido a que algunos nios no
Agam Shah, "Keeping Data Secure with Biometrics," PC World, 22 de junio de 2007, disponible en <http://www.washingtonpost.com/wp-dyn/content/article/2007/06/22/AR2007062201584.html>. 117 "New Tricks with Biometrics," CNN, 28 de septiembre de 2006, disponible en <http://edition.cnn.com/2006/TRAVEL/09/27/biometrics.SAS/index.html>. 118 Vea en general la pgina web de EPIC sobre Theme Parks and Privacy (Parques Temticos y Privacidad). Disponible en <http://epic.org/privacy/themepark/>. 119 Vea en general, la pgina web de EPIC sobre la Cdula Nacional de Identidad y la Ley de Identificacin Real (National ID Cards and REAL ID Act) en <http://epic.org/privacy/id_cards/> y la pgina web de Privacy International sobre Cdula Nacional de Identidad (National ID Cards) en <https://www.privacyinternational.org/category/issues/national-id-cards-0?page=8>. 120 Mark Magnier, "Campaign of Shame Falls Flat in China," Los Angeles Times, 18 de diciembre de 2006; Mark Ballard, "Halt to School Fingerprinting," Register, 9 de noviembre de 2006 <http://www.theregister.co.uk/2006/11/09/hongkong_kiddyprinting/>. 121 British Educational Communications and Technology Agency, "BECTA Guidance on the Use of Biometric Systems in Schools," julio de 2007, disponible en <http://archive.teachfind.com/becta/schools.becta.org.uk/uploaddir/downloads/becta_guidance_on_biometric_technologies_in_schools.pdf>. 122 Id. pgina 8; Ley de Proteccin de Datos de 1998, disponible en <http://www.legislation.gov.uk/ukpga/1998/29/contents>. 123 Oficina del Comisionado de la Informacin del Reino Unido, "The Use of Biometrics in Schools," Julio de 2007, disponible en
116
42
estaran en la capacidad para entender las implicaciones de la toma de huellas dactilares, en dichos casos el colegio debe informarle plenamente y obtener el consentimiento de los padres; sino el colegio estara violando la Ley de Proteccin de Datos.124 No se sabe si los padres entienden plenamente que, cuando se investiga un delito, la polica del Reino Unido est permitida para acceder a las bases de datos biomtricos de los colegios sin la autorizacin paterna.125 Tradicionalmente, los datos biomtricos de huellas dactilares han sido utilizados en las investigaciones de las fuerzas del orden sobre delitos; utilizados en laboratorios y en tribunales para identificar delincuentes. Sin embargo, las fuerzas del orden han empezado a utilizar las bases de datos de huellas dactilares fuera de estos contextos. En Australia y en el Reino Unido, la polica ahora cuenta con escneres porttiles de huellas dactilares de modo que puedan identificar rpidamente a personas en la calle, tales como conductores a los que se les hace detener a un lado de la va por alguna infraccin de trnsito o a peatones sospechosos de delitos.126 La polica obtiene el permiso de los sospechosos, pero la voluntariedad de tal permiso es sospechosa, y luego busca coincidencias en una base de datos que contiene 6.5 millones de huellas dactilares. El dispositivo biomtrico porttil utilizado por la polica de Australia es fabricado por una compaa electrnica francesa llamada "Sagem" y puede almacenar hasta 100,000 huellas dactilares.127 Tambin ha habido una expansin del intercambio internacional de datos de huellas dactilares. Filipinas y los Estados Unidos de Amrica estn cooperando en una base de datos conjunta.128 En enero de 2007, los Ministros de Asuntos Internos de los signatarios del Tratado de Prm acordaron compartir el acceso a sus bases de datos de huellas dactilares y de vehculos motorizados.129 Austria, Blgica, Francia, Alemania, Luxemburgo, Pases Bajos, y Espaa firmaron el tratado en el 2005. Italia, Finlandia, Portugal, Rumania, Eslovenia, Suecia y Rumania tambin dieron a conocer formalmente su deseo de firmar.
<http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/fingerprinti ng_final_view.pdf>. 124 Id. 125 David Smith, Comisionado Adjunto, Oficina del Comisionado de la Informacin del Reino Unido, Testimonio en una Audiencia sobre la Sociedad Vigilante ante la Comisin de Asuntos Internos de la Casa de los Comunes, 1 de mayo de 2007 disponible en <http://www.publications.parliament.uk/pa/cm200607/cmselect/cmhaff/uc508-i/uc50802.htm>. 126 "Motorists to Give Fingerprints," BBC News, 22 de noviembre de 2006 <http://news.bbc.co.uk/2/hi/uk_news/6170070.stm>. 127 Michael Crawford, "Australian State Police Eye Fingerprint Biometrics," Computerworld Australia, 14 de octubre de 2005, disponible en <http://www.computerworld.com/s/article/105427/Australian_state_police_eye_fingerprint_biometrics?ta xonomyId=017>. 128 "Philippine, U.S. Police Cooperate in Fingerprint Database," People's Daily Online, 7 de junio de 2006 <http://english.peopledaily.com.cn/200606/07/eng20060607_271844.html>. 129 Ministro del Interior Federal Aleman, Nota de Prensa, "Informal Meeting of Ministers for Justice and Home Affairs: Home Affairs Ministers Back Initiative to Create a Pan-European Network of Police Databases for More Effective Crime Control," ("Reunin Informal de Minsitros de Justicia y del Interior: Los Ministros del Interior respaldan la iniciativa de crear una red pan-Europea de base de datos de la polica para un control ms eficaz del Crimen") 15 de enero de 2007,disponible en <http://www.eu2007.de/en/News/Press_Releases/January/0115JIRatPK1.html>; Carta de la Presidencia al Consejo de la Unin Europea, "Integration of the Prm Treaty into the Union Legal Order," ("Integracin del Tratado de Prm en el Orden Legal de la Unin") 9 de febrero de 2007, disponible en <http://www.statewatch.org/news/2007/feb/eu-prum-6220-07.pdf>.
43
En febrero de 2007, la Comisin Europea revel que uno de sus "acciones principales previstas para el 2008" era "la implementacin de una base de datos centralizada de huellas dactilares".130 La propuesta por una base de datos masiva de huellas dactilares de todos los 27 pases de la UE motiv acusaciones de "Gran Hermano Europa" ("Big Brother Europe"). La base de datos incluira las huellas dactilares de sospechosos y de personas liberadas sin cargos, as como de aquellos convictos por delitos.131 El costo y alcance de la base datos de huellas dactilares masiva a nivel de toda la UE est siendo evaluado, pero el objetivo era el de crear la base de datos a finales de 2008. Quedan an dudas sobre si los terceros pases, tales como los Estados Unidos de Amrica, tendran acceso a este repositorio centralizado de las huellas dactilares de los ciudadanos de la UE. En junio de 2007, el Supervisor Europeo de Proteccin de Datos Peter Hustinx envi una carta a los Ministros de Justicia y del Interior de Portugal criticando estas medidas recientes.132 (Portugal asumi la Presidencia del Consejo de la Unin Europea el 1 de julio de 2007.) El ofreci su asistencia, declarando que "Parece que el nmero de acuerdos sobre nuevas medidas antiterroristas ha sido concluido sin considerar plenamente el impacto de estas sobre los derechos fundamentales."133 El Supervisor Hustinx tambin afirm que, "Temo que mensajes como el de 'ningn derecho a la privacidad hasta que la vida y la seguridad estn garantizados' estn evolucionando en un mantra que sugiere que los derechos fundamentales y las libertades son un lujo que la seguridad no puede afrontar. Yo contradigo esa visin y hago hincapi que no hay duda en se pueden tomar medidas antiterroristas efectivas dentro de los lmites de la proteccin de datos."134 Los pases estn utilizando cada vez ms huellas dactilares para la seguridad de sus fronteras. Australia, Malasia, Singapur, los Estados Unidos de Amrica, el Reino Unido, entre otros, recolectan huellas dactilares en sus fronteras.135 El programa de seguridad de fronteras de los Estados Unidos de Amrica US-VISIT requiere a los
Comunicacin de la Comisin al Consejo, el Parlamento Europeo, la Comisin Europea Econmica y Social y la Comisin de las Regiones, "Estrategia de Poltica Anual para el 2008," pgina 12, 21 de febrero de 2007, disponible en <http://ec.europa.eu/atwork/synthesis/doc/aps_2008_en.pdf>. 131 David Charter, "Central Fingerprint Database Plan Draws Fire from All Over EU," Times Online, 16 de marzo de 2007 <http://www.openeurope.org.uk/media-centre/article.aspx?newsid=1813>. 132 Carta del Supervisor Europeo de Proteccin de Datos Peter Hustinx al Ministero de Justicia de Portugal Alberto Costa, "Presidency Work Programme and the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data," ("Programa de la Presidencia sobre Trabajo y Proteccin de Personas con Relacin al Tratamiento de Datos de Carcter Personal y del Libre Movimiento de tales Datos") 12 de junio de 2007, disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2007/07-06-11_Letters_portuguese_presidency_EN.pdf>. 133 Ibid. 134 Ibid. 135 Vivian Yeo, "Singapore Unveils Biometric Passport," CNet News.com, 31 de marzo de 2006 <http://news.cnet.com/2100-1029_3-6056746.html>; "Singapore Advocates Using Biometrics in Border Control," People's Daily Online, 26 de marzo de 2007 <http://english.people.com.cn/200703/26/eng20070326_361093.html>; Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de julio de 2007 <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>; UK Home Office, Press Release, "New Powers to Capture Foreign Nationals' Biometrics," 19 de diciembre de 2006, <http://www.itsecurity.com/press-releases/press-release-home-office-biometrics-121906/>; Dewan Rakyat, "Biometric Way to Monitor Foreign Workers," Star Online.com, 26 de junio de 2007. Disponible en <http://startechcentral.com/tech/story.asp?file=/2007/6/26/technology/20070626115333&sec=technology> [visitado en 2007].
130
44
extranjeros que ingresen o salgan del pas presentar informacin biogrfica detallada, las huellas dactilares de los 10 dedos, y una fotografa digital; este es uno de los ms grandes programas de recoleccin de datos biomtricos en el mundo.136 En diciembre de 2006, el Ministerio del Interior del Reino Unido anunci un plan para "[registrar] datos biomtricos de cada uno de los habitantes de las 169 nacionalidades existentes fuera de la [Zona Econmica Europea] que estn postulando a un trabajo, estudio o estada en el Reino Unido por ms de seis meses, y para las personas de las 108 nacionalidades que postulan para visitar el Reino Unido," a ser implementado en el 2008.137 El Reino Unido planea registrar las huellas dactilares y las imgenes faciales y tambin planea empezar a emitir documentos de identidad biomtricos para extranjeros en 2008.
45
Estados Unidos de Amrica,143 miSenseplus del Reino Unido.144 Australia,145 Alemania,146 y el Reino Unido147 estn recolectando escaneos de iris de los visitantes y los Estados Unidos de Amrica est considerando aadir escaneos de iris a su programa de seguridad de fronteras US-VISIT.148 Los escaneos de iris tambin son utilizados en exceso en otros mbitos. Los colegios en los Estados Unidos de Amrica y en el Reino Unido estn recolectando escaneos de iris.149 A los mdicos en Australia del Sur se les puede pronto exigir enviar escaneos de iris y de huellas dactilares para acceder a los registros mdicos en los hospitales.150 Funcionarios de los Estados Unidos de Amrica han creado el Registro y Sistema de Identificacin de Delincuentes Sexuales (SORIS, en ingls), el cual almacena imgenes de los irises de los delincuentes sexuales.151
46
impresiones palmares.155 La polica canadiense tambin est buscando crear tal base de datos.156 En el Aeropuerto Ben Gurion, el nico aeropuerto internacional del pas, los viajeros pueden identificarse a s mismo por medio de sus impresiones palmares en ms de 20 mdulos.157
Reconocimiento de Voz
La tecnologa de reconocimiento de voz identifica a las personas a travs de sus distintos patrones vocales. Los cuatro millones de clientes del Dutch International Bank ABN Amro ahora pueden acceder a servicios automatizados de banca por telfono por medio del sistema biomtrico de verificacin de voz del banco.158 Las compaas de tarjetas de crdito estn evaluando utilizar la tecnologa de reconocimiento de voz para permitir realizar pagos a sus clientes.159 En febrero de 2007, la Corporacin Microsoft tuvo que arreglar un problema en su sistema operativo Vista porque las caractersticas de reconocimiento de voz podran ser utilizadas por otros para borrar archivos maliciosamente.160 La tecnologa tiene sus puntos dbiles. EPIC asevera que "el reconocimiento de voz se desequilibra por el ruido de fondo, y cuando se utiliza un telfono anlogo o celular. Dado que es imposible engaar a un sistema de reconocimiento de voz a travs de la suplantacin o la imitacin, entonces es factible utilizar una grabadora para cometer fraude."161
Andy McCue, "Police Get National Biometric Palm Print Database," Silicon.com, 23 de marzo de 2006 <http://www.silicon.com/management/public-sector/2006/03/23/police-get-national-biometricpalm-print-database-39157511/>. 156 "Winnipeg Police Angling for Palm-Print Software," CBC News, 15 de enero de 2007 disponible en <http://www.cbc.ca/news/canada/manitoba/story/2007/01/15/palm-print.html>. 157 Brian Robinson, "Israel Uses Hands-on Approach for Trusted Travelers," FCW.com, 29 de agosto de 2005 <http://fcw.com/articles/2005/08/29/israel-uses-handson-approach-for-trusted-travelers.aspx>. 158 Linda More, "Case Study: ABN Amro: Dutch International Bank ABN Amro Is Using Biometric Voice Verification Security for Its Customers," 19 de abril de 2007, Computing.co.uk <http://www.computing.co.uk/ctg/analysis/1823699/case-study-abn-amro>. 159 "Now pay your credit card bills the secure way with your voiceprint," Malaysia Sun, 20 de Julio de 2007 <http://story.malaysiasun.com/index.php/ct/9/cid/d805653303cbbba8/id/266566/cs/1/>. 160 "Vista Has Speech Recognition Hole," BBC News, 17 de febrero de 2007 <http://news.bbc.co.uk/2/hi/technology/6320865.stm>. 161 Declaracin de Marc Rotenberg, Director Ejecutivo de la Electronic Privacy Information Center, y de Carla Meninsky, EPIC Asociada IPIOP, en la Audiencia Conjunta sobre Robo de Identidad que involucra a Ancianos como Victimas ante la Comisin Especial sobre Envejecimiento (18 de julio de 2002), disponible en <http://epic.org/privacy/biometrics/testimony_071802.html>.
155
47
48
La recoleccin de informacin personal y el uso de tecnologa de vigilancia por parte de los empleadores, a menudo se justifican con el argumento de la salud y la seguridad, las relaciones con los clientes o las obligaciones legales. Sin embargo, de acuerdo a un reciente estudio de la Privacy Foundation, es en realidad el bajo costo de las tecnologas de vigilancia ms que cualquier otra cosa lo que contribuye al incremento en la vigilancia.165 En muchos casos, la vigilancia en el centro laboral puede comprometer seriamente la privacidad y la dignidad de los empleados. Las tcnicas de vigilancia pueden ser usadas para acosar, discriminar y crear dinmicas perjudiciales en el centro laboral.
Antecedentes Jurdicos
Los defensores de la privacidad han mantenido por largo tiempo que la notificacin de la vigilancia o de una poltica de vigilancia debe, como mnimo, ser exigida antes de que los empleadores puedan comprometerse en tales actividades invasivas. Los defensores respaldan enrgicos principios de privacidad en el centro laboral como es el caso del "Cdigo de Prctica sobre la Proteccin de los Datos Personales de los Trabajadores" de la Organizacin Internacional del Trabajo, la cual protege los datos personales del trabajador y el fundamental derecho a la privacidad en la era tecnolgica.166 Estas guas fueron emitidas por la Organizacin Internacional del Trabajo en 1997, siguiendo tres estudios generales sobre las leyes internacionales de privacidad de los trabajadores.167 Los principios generales de este cdigo son: los datos personales deben ser utilizados en forma legtima y justa; slo por razones directamente relacionados al empleo del trabajador y slo para el propsito para el cual fueron originalmente recolectados; los empleadores no deben recolectar datos personales sensibles (p.ej., referentes a la vida sexual, poltica, religiosa, o relativa a otras creencias; o pertenencia a un sindicato o condenas criminales de un trabajador) a menos que esa informacin sea directamente pertinente para la decisin de empleo y sea recolectada de conformidad con la legislacin nacional; los polgrafos, equipos de verificacin de la verdad o cualquier otro procedimiento similar no deben ser utilizados; los datos mdicos slo deben ser recolectados de conformidad con la legislacin nacional y los principios de confidencialidad mdica; la investigacin de antecedentes genticos debe estar prohibida o limitada a los caso explcitamente autorizados por la legislacin nacional; y las pruebas de consumo de drogas slo deben ser llevadas a cabo de conformidad con la ley nacional y la prctica de las normas internacionales; los trabajadores deben estar informados por adelantado de cualquier monitoreo, y cualquier recoleccin de datos resultante de dicho monitoreo no debe ser el nico factor en la evaluacin del desempeo de los mismos;
The Privacy Foundation, The Extent of Systematic Monitoring of Employee E-mail and Internet Use, 9 de Julio de 2001 <http://www.sonic.net/~undoc/extent.htm>. 166 "Protection of workers' personal data," ("Proteccin de los datos personales de los trabajadores") Cdigo de Prctica de la OIT , Ginebra, Organizacin Internacional del Trabajo (1997). 167 Organizacin Internacional del Trabajo, Compendio de Condiciones de Trabajo: Privacidad de los Trabajadores Parte I: Proteccin de Datos Personales 10 (2) (1991); Privacidad de los Trabajadores Parte II: Monitoreo y Vigilancia en el Centro Laboral (1993) 12(1); y Privacidad de los Trabajadores Parte III: Pruebas en el Centro Laboral, 12(2) (1993).
165
49
los empleadores deben garantizar la seguridad de los datos personales ante perdida, acceso no autorizado, uso, alteracin o revelacin; y los empleados deben ser informados regularmente de cualquier dato manejado sobre ellos y debe permitrseles el acceso a dichos datos.168
El cdigo no crea legislacin internacional y no es de efecto vinculante. Este fue pensado para ser utilizado "en el desarrollo de legislacin, regulaciones, acuerdos colectivos, reglas de trabajo, polticas y medidas prcticas."169 Sin embargo, lamentablemente, las leyes difieren mucho de un pas a otro, y en algunos pases hay pocas restricciones legales sobre vigilancia en el centro laboral.
En los Estados Unidos de Amrica, por ejemplo, los tribunales han sido usualmente lentos para reconocer el derecho de los trabajadores a la privacidad. Todava no ha habido ninguna sentencia satisfactoria y uniforme sobre el nivel de privacidad que tienen derecho los empleados y de qu manera dicha privacidad debe ser protegida. Muchos creen que ya que los empleadores tienen la titularidad o el "control" sobre las premisas del trabajo, y de sus contenidos e instalaciones, los empleados renuncian a todos sus derechos y expectativas a la privacidad y a ser libres de la invasin de la misma.170 Otros simplemente evitan el problema haciendo que sus empleados consientan la vigilancia, el monitoreo y la pruebas como condicin de empleo.171 Los empleados del sector pblico de los Estados Unidos de Amrica estn protegidos por varias leyes. La Cuarta Enmienda se aplica no slo a los funcionarios encargados de hacer cumplir las leyes, sino tambin a los funcionarios gubernamentales y tambin a los empleados. El derecho constitucional a la privacidad de la informacin, reconocida en Whalen contra Roe,172 puede proteger a los empleados ante la revelacin por parte del empleador de su informacin personal. Otras leyes que podran proteger la privacidad de empleados pblicos incluyen las disposiciones constitucionales pertinentes, leyes federales y estatales sobre interceptacin, la Ley de los Estadounidenses con Discapacidades (ADA, en ingls), la Ley Federal de Privacidad, y las demandas por agravios, en el derecho anglosajn, a la privacidad. Adems, dependiendo del tipo de contrato laboral que gobierne el acuerdo laboral, los empleados pblicos pueden tener derecho a recurso amparndose en las compensaciones contractuales. Sin embargo, la mayora de los acuerdos laborales son
Proteccin de los datos personales de los trabajadores, supra. Id. 170 Los empleados que no cuenten con inters posesorio en el centro laboral no pueden tener una expectativa razonable de privacidad en dicho lugar. Ver p.ej. Hall contra el Estado, 258 Ga. App. 502, 574 S.E.2d 610 (2002) (Disponible en ingls en <http://www.lexisone.com/lx1/caselaw/freecaselaw?action=OCLGetCaseDetail&format=FULL&sourceI D=bdjgjj&searchTerm=ehiS.hHEa.aadj.eeid&searchFlag=y&l1loc=FCLOW>); McInnis contra el Estado, 657 S.W.2d 113 (Tex. Crim. App. 1983). Disponible en <http://174.123.24.242/leagle/xmlResult.aspx?xmldoc=1983770657SW2d113_1758.xml&docbase=CSL WAR1-1950-1985>. 171 Una investigacin realizada por la American Management Association (AMA) hall que entre los empleadores incursos en monitoreo y vigilancia, la gran mayora informa a sus empleados que el uso de pginas web, correo electrnico, y golpes de teclado estn siendo rastreados. AMA "2006 Workplace EMail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-Mail, IM & Blog Violators." ("2006 Investigacin en el Centro Laboral sobre Correo Electrnico, Mensajera Instantnea y Blogs: Los Jefes combaten el Riesgo Despidiendo a los transgresores del Correo Electrnico, la Mensajera Instantnea y los Blogs"), disponible en <http://press.amanet.org/press-releases/28/2006-workplace-email-instant-messaging-blog-survey-bosses-battle-risk-by-firing-e-mail-im-blog-violators/>. 172 Whalen contra Roe 429 U.S. 589 (1977). Disponible en ingls en <http://supreme.justia.com/us/429/589/case.html>.
169 168
50
considerados "a voluntad," lo que significa que los empleados pueden ser despedidos por cualquier razn o por ninguna, siempre que se les d el aviso con la anticipacin debida. Una excepcin a esta regla general es que el empleado no puede ser despedido por una razn que viole normas de orden pblico, tal como por no cumplir con un procedimiento invasivo de la privacidad. En caso que esto ocurra, los empleados pueden presentar una demanda judicial por despido injusto en violacin de normas de orden pblico.
Los trabajadores del sector privado de los Estados Unidos de Amrica tienen algunas, pero no todas las protecciones proporcionadas a los empleados del sector pblico. La Cuarta Enmienda y muchas constituciones estatales no se aplican a los trabajadores privados. Sin embargo, las leyes federales de interceptacin se aplican tanto a los empleados pblicos como a los privados. Los trabajadores del sector privado pueden a su vez entablar un recurso por invasiones a la privacidad al amparo de la Ley de los Estadounidense con Discapacidades (ADA), violaciones a las teoras del contrato y daos a la privacidad. A nivel internacional, las regulaciones que gobiernan la compilacin y el uso de los datos personales de los empleados varan significativamente. En los pases europeos, la recoleccin y el procesamiento de la informacin personal est protegida por las Directivas de Proteccin de Datos y de Privacidad de la Telecomunicaciones de la UE.173 Sin embargo, esa ltima Directiva dispone la confidencialidad de las comunicaciones para sistemas "pblicos" y por tanto no cubrira los sistemas en manos de privados en el lugar de trabajo.174 Sin embargo, los principios colocados en estas directivas son de alcance general y su aplicacin a problemas de privacidad en el centro laboral no son siempre claros. No obstante, muchos pases europeos tienen slidos cdigos laborales y leyes sobre privacidad que directa o indirectamente prohben o restringen este tipo de vigilancia.175 Las Constituciones de Blgica, Finlandia, Alemania, Grecia, los Pases Bajos y Espaa contienen un derecho general a la proteccin de la privacidad en la vida privada. Dinamarca y Suecia cuentan con derechos constitucionales explcitos a la proteccin de la privacidad relativa al tratamiento electrnico de datos.176 En Finlandia, una nueva ley sobre Proteccin de Datos en la Vida Laboral entr en vigor en octubre de 2004. La nueva ley incluye la prohibicin de pruebas rutinarias sobre consumo de drogas, restricciones al derecho a la video vigilancia y la garanta de privacidad limitada con relacin a los correos electrnicos para los trabajadores.177 Blgica cuenta con un convenio colectivo que protege la privacidad en lnea de los empleados.178 En junio de
Vea "Data Protection at Work: Commission Proposes New EU Framework to European Social Partners," European Commission (2002) 174 Directiva relativa al Tratamiento de Datos Personales y a la Proteccin de la Intimidad en el Sector de las Telecomunicaciones (Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de diciembre de 1997), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0008:ES:PDF>. 175 Para un resumen de los pases europeos y de sus marcos legales para la proteccin de la privacidad de los empleados, dirjase a Catherine Delbar, et al, "New technology and respect for privacy at the workplace," ("Nuevas tecnologas y respeto a la privacidad en el centro laboral") 2003, disponible en <http://www.eurofound.europa.eu/eiro/2003/07/study/tn0307101s.htm>. 176 Id. 177 European Industrial Relations Observatory On-line (EIRO), "New rules on workplace privacy come into force," 15 de febrero de 2005, <http://www.eurofound.europa.eu/eiro/2005/02/inbrief/fi0502201n.htm>. 178 Delbar, "New technology and respect for privacy at the workplace," supra.
173
51
2005, el Comisionado de Privacidad del Reino Unido public el The Employment Practices Data Protection Code," ("Cdigo de Prcticas de Proteccin de Datos en el Puesto de Trabajo"), una gua prctica para las relaciones empleador-empleado.179 Una disposicin significativa exige que cualquier registro de enfermedades y accidentes, que detalle la causa mdica de cualquier ausencia, sea mantenida separada de los registros mdicos que no revelan condiciones mdicas.180 En mayo de 2002, el Grupo sobre Proteccin de Datos del Artculo 29 de la Unin Europea emiti un documento de trabajo sobre monitoreo y vigilancia de comunicaciones electrnicas en el centro laboral. El documento fija principios que los empleadores deben tomar en cuenta cuando estn tratando datos personales de los trabajadores. Estos principios incluyen: finalidad (los datos deben ser recolectados para un propsito legitimo y especifico); transparencia (los trabajadores deben saber que datos sobre ellos estn colectando los empleadores); y seguridad (el empleador debe implementar las medidas de seguridad en el lugar de trabajo para garantizar la seguridad de los datos personales de los trabajadores).181 Actualmente tanto la Organizacin Internacional del Trabajo (OIT) y el Consejo de Europa han establecido guas especficas que establecen la proteccin de datos en las relaciones de empleo.182 Adems, el artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea se refiere a la proteccin de datos personales, y los Artculos 21, 26 y 31 contienen disposiciones pertinentes a la proteccin de los datos privados de los empleados.183 En algunas partes del mundo las disfunciones dentro de los sistemas legales, o un inadecuado Estado de derecho han llevado a un desconocimiento de los derechos fundamentales de los empleados. Ejemplos de ello incluyen a Cisjordania y la Franja de Gaza,184 frica Subsahariana185 y China.186 Tailandia tambin ha estado bajo fuego por vigilar fuertemente el uso de Internet de sus ciudadanos.187
Comisionado de Proteccin de Datos, Cdigo de Practicas en el Puesto de Trabajo, junio de 2005. Id. 181 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Documento de trabajo relativo a la vigilancia de las comunicaciones electrnicas en el lugar de trabajo, 5401/01/ES/Final WP 55, 29 de mayo de 2002, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp55_es.pdf>. 182 "La Proteccin de Datos en el Trabajo: la Comisin Propone un Nuevo Marco Comunitario a los Interlocutores Sociales Europeos," disponible en <http://europa.eu/rapid/pressReleasesAction.do?reference=IP/02/1593&format=HTML&aged=1&langua ge=ES&guiLanguage=en>. 183 Id. 184 ILO, "The situation of workers of the occupied Arab territories," 2007, disponible en <http://www.ilo.org/public/english/standards/relm/ilc/ilc96/pdf/rep-i-a-ax.pdf>. 185 Vea en general OIT, "The Decent Work Agenda in Africa: 2007-2015," ("La Agenda de Trabajo Decente en Africa: 2007-2015" Abril de 2007, disponible en <http://www.ilo.org/wcmsp5/groups/public/--dgreports/---dcomm/---webdev/documents/publication/wcms_082282.pdf> (donde se debate la necesidad de erradicar el trabajo infantil previo a la implementacin de las normas laborales). 186 El Proyecto Escudo Dorado (Golden Shield Project) de China pretende crear una red de vigilancia a nivel integral, complementada con reconocimiento vocal y facial, sistema de Circuito Cerrado de Televisin (CCTV), tarjetas inteligentes, y tecnologa de vigilancia de Internet. Este proyecto afectar todos los aspectos de la vida de un ciudadano. Vea Clive Thompson, "Google's China Problem (and China's Google Problem)," ("El Problema de China para Google (y el Problema de Google para China") N.Y. Times, 23 de abril de 2006. 187 "Thailand: Military-Backed Government Censors Internet," Human Rights Watch, 24 de mayo de 2007, disponible en <http://www.hrw.org/en/news/2007/05/22/thailand-military-backed-governmentcensors-internet>.
180 179
52
53
los trminos contractuales empleados de una oferta justa ofrecen a los empleados algunas protecciones. Los empleadores en Nueva Zelanda tienen derecho a dar pasos razonables para monitorear el desempeo de los trabajadores, para salvaguardar las condiciones de trabajo, y para asegurar su posicin en el mercado. A los empleados, a su turno, se les da generalmente protecciones para salvaguardar su persona, propiedad y conversaciones privadas y creencias, y estn provistos con las facultades necesarias para enmendar hechos irrelevantes, imprecisos o incompletos que se consideren en las decisiones laborales. Los biomtricos han sido introducidos en los centros laborales en Nueva Zelanda con pocos problemas. En un caso, la New Zealand Engineering Printing and Manufacturing Union se quej al Comisionado de Privacidad sobre la introduccin, por parte de una compaa, de tecnologa de escaneo de dedos para controlar el tiempo. El Comisionado de Privacidad se form la opinin de que la recoleccin de informacin personal de los empleados por este medio era tanto legal como necesaria en trminos de los principios de privacidad de la informacin.195 Sin embargo, la introduccin de tecnologa de escaneo de dedos podra ser ilegal en circunstancias en las que el empleador viole disposiciones contractuales o reglamentarias que implican la consulta a los empleados involucrados.196
54
radiofrecuencia (RFID) para acceder a reas restringidas.199 Estambul aprob recientemente un contrato sobre RFID para instalar chips en sus vehculos municipales.200 El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de la Unin Europea examin el tema de los RFID en el centro laboral en un documento de trabajo publicado en enero de 2005.201 El Grupo recomend una mayor visibilidad para los empleados y otros del chip RFID, un incremento en la seguridad de los datos personales, as como el derecho de los empleados a corregir los datos almacenados. Un empleador puede monitorear el nivel de uso de una computadora por medio de la vigilancia de los golpes de teclado que un trabajador realiza. Muchas tecnologas estn disponibles para monitorear y analizar el desempeo de los trabajadores con tecnologas de la informacin (IT). Algunas permiten a los administradores de redes observar la pantalla de un empleado en tiempo real, explorar archivos de datos y correos electrnicos, analizar el desempeo a partir de los golpes en el teclado, e incluso sobrescribir contraseas.202 Una vez que esta informacin es recolectada, puede ser analizada por programas estndar de procesamiento para determinar el perfil de desempeo del trabajador. Estos productos de monitoreo son vendidos a muy bajos precios y se han infiltrado en el mercado. Estos programas de espionaje se han vuelto populares no slo entre empleadores sino en las fuerzas del orden, abogados particulares, investigadores y amantes sospechosos. En aquellos lugares en el que el personal tiene mayor movilidad, las compaas estn utilizando actualmente una variedad de tecnologas GPS para rastrear sus movimientos geogrficamente.203 Algunos hospitales en los Estados Unidos de Amrica ahora solicitan a las enfermeras que utilicen sus credenciales en sus uniformes de modo que puedan ser ubicadas permanentemente.204 Los avances en esta rea ahora permiten a las compaas transportadoras colocar un mecanismo electrnico (descrito como un sistema de comunicaciones mviles basado en satlites geoestacionarios)205 en los camiones los cuales envan la informacin de retorno a una terminal central que tiene la ubicacin exacta del vehculo permanentemente. De esta manera, las compaas transportadoras pueden garantizar que los vehculos no estn tomando otras rutas ni desviaciones fuera de la ruta prescrita. En China, un hombre present una demanda contra su empleador por espiarlo por medio de la capacidad de rastreo GPS de su telfono celular.206 En Corea del Sur, los empleados han acusado a Samsung de rastrear sus movimientos por medio del descifrado de las transmisiones de sus telfonos celulares.207 Finalmente una
ILO, World of Work Magazine, "RFID and Surveillance in the Workplace," Abril 2007, pginas 1619. 200 "Istanbul Municipality Selects Alien RFID Solution," Digital Media Asia, 6 de junio de 2007. 201 Article 29, Data Protection Working Party, "Working document on data protection issues related to RFID technology," Enero 2005. 202 Vea en general, Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006, <https://www.privacyrights.org/fs/fs7-work.htm>. 203 Murray Singerman, GPS Invasion of Worker Privacy, 37 Jun. Md. B.J. 54 (Mayo/Junio 2004). 204 "Monitoring Shrinks Worker Privacy Sphere," Eric Auchard, Reuters, 29 de mayo de 2001. 205 "Bulkmatic Equips Fleet with OmniTRACS System," Qualcomm Nota de Prensa del 19 de diciembre de 1996. Disponible en <http://www.qualcomm.com/news/releases/1996/12/19/bulkmatic-equips-fleetomnitracs-system>. 206 Raymond Li, "Firm accused of spying on worker," South China Post, 12 de mayo de 2007. 207 "Civic Groups to Select Worst Privacy Offenders for This Year," The Korea Times, 19 de noviembre de 2005.
199
55
compaa israel instalar chips de GPS en 3,500 buses con el fin de monitorear su ubicacin en tiempo real.208
Monitoreo Telefnico
La vigilancia telefnica se ha vuelto endmica en todo el sector pblico y privado. En los Estados Unidos de Amrica, los empleadores tienen una amplia libertad para monitorear las llamadas de los empleados con "fines comerciales."209 Las compaas estn utilizando ampliamente la tecnologa de anlisis telefnico. A los trabajadores de la central de llamadas de British Telecom se les presenta regularmente una hoja de anlisis general, mostrndoles su desempeo en relacin a otros trabajadores. Los trabajadores de reservaciones de las aerolneas en los Estados Unidos de Amrica y en otras partes del mundo portan auriculares telefnicos que monitorean la duracin y contenido de las llamadas telefnicas, as como la duracin de sus descansos para ir al bao y para almorzar.210 En abril de 2007, el Tribunal Europeo de Derechos Humanos emiti una sentencia vinculada al derecho a la privacidad de los empleados en la correspondencia enviada desde su centro laboral. En el caso Copland contra el Reino Unido, el Tribunal determin que el monitoreo del telfono, correo electrnico o de Internet de un empleado pblico, obstaculiza el derecho a la privacidad garantizado por el Artculo 8 del Convenio Europeo de Derechos Humanos.211 El Artculo 8 estipula que "todos tienen derecho al respeto a su vida privada individual y familiar, la de su hogar y de su correspondencia." La sentencia prohbe la vigilancia de las comunicaciones privadas en el centro laboral si no existe base jurdica para tal monitoreo.
2 12
Las computadoras y las redes son particularmente propicias para la vigilancia. En el 2005 el American Management Association hall que el 76% de los empleadores monitoreaba el uso de Internet, y 55% retena y revisaba los mensajes de correo electrnico de sus empleados.213 Estos porcentajes obviamente crecen radicalmente cuando se hacen verificaciones al azar de vigilancia. Los empleadores pueden monitorear los mensajes de correo electrnico por medio de una revisin aleatoria de transmisiones de correo electrnico, o al revisar especficamente las transmisiones de
Ran Rimon, "3,500 Egged Buses to Get GPS," Financial Times Information Ltd., 15 de noviembre de 2006. 209 Al amparo de la ley federal, los empleadores pueden monitorear las llamadas no previstas de los empleados, pero una vez se percate que la llamada es de naturaleza personal, el monitoreo debe detenerse. Watkins v. L.M. Berry & Co., 704 F.2d 577, 583 (11th Cir. 1983). 210 Laura Pincus Hartman, "The Economic and Ethical Implications of New Technology on Privacy in the Workplace," Business and Society Review, 22 de marzo de 1999. 211 Copland v. United Kingdom, [2007] ECHR 253,disponible en <http://www.bailii.org/eu/cases/ECHR/2007/253.html>. 212 Para un vistazo general de la prevalencia del monitoreo de las computadores, el uso de Internet, y del uso del correo electrnico en los Estados Unidos de Amrica, vea Oficina General de Contabilidad de los Estados Unidos de Amrica, Privacidad de los Empleados: Monitoreo del Uso de Computadoras y Polticas de Compaas Seleccionadas (Computer-Use Monitoring and Policies of Selected Companies) (2002). 213 AMA, "2005 Estudio de Monitoreo y Vigilancia Electrnica," supra. Adems, en el 2001 la Privacy Foundation encontr que catorce millones de empleados en los Estados Unidos de Amrica estaban sujetos a esta clase de vigilancia de modo permanente. Vea Privacy Foundation, "El Alcance del Sistemtico Monitoreo del Uso del Correo Electrnico y de Internet, 9 de julio de 2001. <http://www.sonic.net/~undoc/extent.htm>.
208
56
ciertos empleados, o por medio de la seleccin de trminos clave para marcar los correos electrnicos. En el ltimo caso, un software analiza el trfico completo de correos electrnicos frase por frase y obtiene conclusiones de si un mensaje es o no de naturaleza comercial legtima de la compaa. ste puede ser programado para buscar palabras clave especficas y frases "perjudiciales". Algunos programas pueden incluso utilizar algoritmos para analizar patrones de comunicaciones y convertirlas en imgenes. Los monitores pueden entonces ver las imgenes para seguir los patrones de trfico y detectar si datos sensibles estn o no en riesgo. Muchos empleadores confan en el software de monitoreo remoto de mensajes de correo electrnico. Con unas cuantas pulsaciones en su teclado pueden ver cada correo electrnico que los empleados envan o reciben y determinar si son "legtimos" o no. Los administradores dan una serie de razones para instalar tal software. Algunos dicen que es para proteger los secretos comerciales o prevenir incidentes de acoso sexual. Otros quieren impedir mensajes sobredimensionados que atoren las redes y que utilicen demasiado ancho de banda. Otros simplemente no desean que los empleados "malgasten" el tiempo en la compaa utilizando sus sistemas para actividades personales. En un mundo ideal, este monitoreo seguira el formato convencional, p. ej., idntico al control de calidad que se ha aplicado a la correspondencia enviada afuera con el membrete de la compaa. Sin embargo, la velocidad y la eficacia del correo electrnico significan que la comunicacin digital involucra una vasta interseccin con la correspondencia personal. ste incluso tiene caractersticas ms en comn con un memorando interno, para el cual siempre ha habido menos monitoreo y gestin.214 En Nueva Zelanda, se acepta que los empleadores puedan monitorear el uso de Internet y despedir a empleados por mal uso del mismo,215 y tal mal uso podra incluso tener implicancias penales.216 En el lado opuesto, Francia ha establecido polticas estrictas que protegen la privacidad del uso de correo electrnico de los empleados. La Corte Suprema de Francia sostuvo que los empleadores no tiene el derecho de abrir ningn mensaje de sus empleados. La Corte dictamin en un caso entre Nikon y un exempleado que la compaa no tiene el derecho automtico para buscar en la bandeja de entrada de un correo electrnico.217 En los Estados Unidos de Amrica, pocas leyes regulan el monitoreo del correo electrnico y del uso de Internet de los empleados. Los tribunales en general fallan a favor del monitoreo del empleado.218 Sin embargo, [A1] hay una tendencia creciente entre las compaas para despedir o demandar a los empleados por divulgar secretos comerciales de la compaa o por difamar a la compaa en las salas de chat. Estos se han venido a conocer como los casos "Juan Prez" ("John Doe"). Debido a que la mayora de las personas se conecta a las salas de chat de manera annima o utiliza un sobrenombre, una vez que la compaa observa que cierto participante en una sala de chat se involucra en lenguaje "inapropiado", estos pueden citar judicialmente a los servicios de tablones de mensajes tales como Yahoo! o American Online, para obtener
Id. Vea Bisson & Ors contra Air New Zealand Ltd., CA 98/06 [3 July 2006] P. Montgomery (investigando la identidad de los empleados que accedieron a sitios pornogrficos cuando todos los empleados compartan informacin de usuarios); Cliff & Groom v. Air New Zealand Ltd., AC 47/06 [23 de agosto de 2006] Shaw J. (mantener esos datos alegando que el mal uso de Internet puede en vez de ello ser el resultado de avisos emergentes y otros accesos no manuales). 216 Vea "Man convicted of theft for internet use at work," Northern Advocate, 22 de agosto de 2006. 217 Nikon v. Onof, Decision No. 4164, 2 octubre, 2001 (99-42.942). 218 Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006, supra.
215 214
57
la identidad de un participante especfico. Los proveedores de servicios a menudo se niegan a entregar informacin de identificacin cuando se presenta un requerimiento sin ninguna notificacin a la persona. El nmero de estos casos est creciendo rpidamente y amenaza no slo la privacidad de los empleados sino tambin sus derechos al anonimato y a la libertad de expresin.219 A medida que crece la blogsfera, la conjuncin entre "bloguear" en el trabajo y "bloguear" se hace oscura.220 En los Estados Unidos de Amrica, los empleados creen errneamente que la Primera Enmienda les otorga el derecho a publicar libremente sus ideas en pginas web personales.221 Sin embargo, la Primera Enmienda no protege a los empleados en compaas privadas en los casos de uso a voluntad.222 La falta de una gua legal ha forzado a algunos empleadores a despedir empleados "blogueros" por publicaciones de naturaleza no laboral en sus blogs (bitcoras) personales, por miedo a que dichos empleados puedan revelar informacin confidencial o hablar mal, en lnea, de la compaa.223 Otros empleadores, en cambio, prohben completamente, a su personal, el uso de blogs o adoptan guas para "bloguear".224 Actualmente, los empleados despedidos por blogueros no tienen derecho a indemnizaciones legales.225 Aunque estos casos son ms prevalentes en los Estados Unidos de Amrica, en el 2006, una expatriada britnica que vive en Francia tambin fue despedida por ser la autora de un blog personal annimo. Una corte francesa fall a su favor.226 Ella, es la segunda ciudadana britnica despedida por "bloguear".227 La popularidad de los sitios de redes sociales ha distorsionado ms la lnea entre el centro laboral y la persona en privado. En los Estados Unidos de Amrica, los empleadores ahora verifican los perfiles en lnea de los candidatos en los sitios de redes sociales antes de alcanzarles una oferta de empleo.228 Las fotos que muestran a un empleado potencial involucrado en actividades personales tales como consumo de
Actualmente existen casos pendientes sobre este tema que incluyen a Swiger contra Allegheny Energy, Inc., 2007 U.S. Dist. LEXIS 8610 (E.D. Pa. 4 de abril de 2007) (refutando el uso de una citacin por parte de la compaa para determinar la identidad de un empleado participante en un tablon de mensajes, y despedir posteriormente al empleado al descubrir su identidad) y H.B. Fuller Co. contra Doe, 2007 Cal. App. LEXIS 894 (Sup. Ct. of Santa Clara Cty., 31 de mayo de, 2007) (intentando descubrir la identidad de un mensaje annimo de un participante en un tabln de mensajes basado solamente en los hechos de la denuncia). 220 AMA, 2006 Workplace E-Mail, Instant Messaging, & Blog Survey: Bosses Battle Risk by Firing EMail, IM, & Blog Violators, 11 de Julio de 2006, ("2006 Investigacin en el Centro Laboral sobre Correo Electrnico, Mensajera Instantnea y Blogs: Los Jefes combaten el Riesgo Despidiendo a los transgresores del Correo Electrnico, la Mensajera Instantnea y los Blogs"), disponible en <http://press.amanet.org/press-releases/28/2006-workplace-e-mail-instant-messaging-blog-survey-bossesbattle-risk-by-firing-e-mail-im-blog-violators/>. 221 Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de 2005 <https://www.eff.org/wp/blog-safely>. 222 Id. 223 Todd Wallack, "Beware if your blog is related to work," San Francisco Chronicle, 24 de enero de 2005. 224 IBM, Blogging guidelines <http://www.ibm.com/blogs/zz/en/guidelines.html>. 225 Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de 2005, supra. 226 Bobbie Johnson, "Briton sacked for writing Paris blog wins tribunal case," Guardian International, 30 de marzo de 2007. 227 Angela Doland, "Sacre blog! Fired gossip sues in Paris," Chicago Tribune, 21 de Julio de 2006. 228 Alan Finder, "For Some, Online Persona Undermines a Resume," N.Y. Times, 11 de junio de 2006.
219
58
drogas, alcohol o proezas sexuales pueden daar las posibilidades futuras de dicho candidato.229
Para mayor informacin sobre redes sociales y sus implicaciones en la privacidad, vea la seccin de Redes Sociales de Privacy and Human Rights. 230 Behrouz Shahandeh & Joannah Caborn, "Ethical Issues in Workplace Drug Testing in Europe," SafeWork: ILO Geneva (febrero, 2003) <http://www.ilo.org/safework/lang--en/index.htm>. 231 Id. 232 Id. 233 Id.
229
59
requerimiento para la prueba de consumo de drogas que este incluido en un acuerdo laboral puede ser interpretada como una infraccin disciplinaria.234 Algunas constituciones europeas, por ejemplo la de Blgica y Finlandia, sostienen que los derechos fundamentales tales como el derecho a la privacidad son indivisibles y que un individuo no puede consentir prescindir de estos derechos.235 Los temas de privacidad implcitos en la esfera de la prueba para consumo de drogas en el lugar de trabajo se hallan dentro de las grandes preocupaciones sobre proteccin de datos. Los procesos de la prueba implican la recoleccin de datos sensibles tanto en el uso de drogas como de medicacin tomada, la cual puede influir en los resultados de la prueba. La recoleccin y el almacenamiento de tal informacin est por tanto, no slo sujeta a un estricto control en muchos pases europeos, sino tambin sujeta a normas europeas tales como las Directivas de Proteccin de Datos y Privacidad de las Telecomunicaciones de la UE y el Cdigo de Prctica sobre la Proteccin de los Datos Personales de los Trabajadores de la OIT 1996.236 En algunos pases europeos, la tensin entre la necesidad de una seguridad en el lugar de trabajo y la proteccin de la informacin personal se resuelve reforzando el rol del mdico ocupacional. En Finlandia, Francia, Blgica, Alemania y Austria, los resultados de las pruebas de drogas son comunicados al mdico ocupacional, no al empleador. El doctor es el nico autorizado a informar al empleador si la persona es adecuada o no para el trabajo; no que resultados revel la prueba de drogas. Las pruebas de consumo de drogas son imprecisas y pueden a menudo conducir a resultados falsos y engaosos. [A3] Pruebas altamente sensibles pueden ser positivas incluso cuando la droga buscada no est presente. Algunos afirman que resultados positivos pueden ser producto de un remanente despus de prueba positiva fuerte realizada anteriormente o de errores humanos, tales como contaminacin debido a una deficiente limpieza del equipo.237 Otros resaltan que ciertas sustancias legales pueden tambin producir resultados positivos de consumo de drogas ilegales. Por ejemplo, ha habido informes de que el uso de inhaladores Vick producen resultados positivos para pruebas de anfetaminas y meta anfetaminas, medicinas antiinflamatorias comunes como el Ibuprofeno han resultado en resultados positivos de consumo de marihuana, e incluso trazos de morfina han sido detectados como semillas de amapola.238 Otros temas que plantean preocupaciones de privacidad en los centros laborales son los requerimientos de los empleadores para que los trabajadores completen pruebas mdicas, cuestionarios y pruebas poligrficas. En los Estados Unidos de Amrica, el uso de pruebas de polgrafos por parte de los empleadores ha sido limitado por normas federales. El Congreso aprob la Ley de Proteccin Poligrfica del Empleado (EPPA),239 la cual hace ilegal para los empleadores del sector privado el solicitar a actuales o futuros trabajadores el pasar una prueba de detector de mentiras. La norma excepta a los empleados pblicos en los niveles federal, estatal y local. Sin embargo, existen algunas pocas excepciones a la EPPA. Por ejemplo, los empleadores puedes
Id. Id. 236 Id. 237 John P. Morgan, "Problems of Mass Urine Screening for Misused Drugs," Journal of Psychoactive Drugs. Volume 16(4) 305-317 (1984). 238 National Academy of Sciences, "Under the Influence? Drugs and the American Work Force," 1994. Vea tambin ACLU, "Drug Testing: A Bad Investment," septiembre 1999, disponible en <http://www.aclu.org/drug-law-reform/drug-testing-bad-investment>. 239 29 U.S.C. 2001-2009.
235 234
60
usar polgrafos como parte de una investigacin en marcha que involucre prdidas econmicas o daos al negocio del empleador y los empleadores que proporcionan servicios de seguridad estn exceptuados. A nivel internacional, existen pocas leyes de privacidad en centros laborales que especficamente traten el uso de polgrafos en el contexto laboral. En Europa, pruebas de honradez a travs de medios mecnicos, tales como polgrafos o analizadores de acentos de voz, o por medio de cuestionarios que se esfuerzan en evaluar la actitud del trabajador frente a la honestidad, no estn expresamente reguladas.240 En otros lugares, las pruebas mecnicas de honestidad estn prohibidas por reglamento como en el territorio canadiense de New Brunswick y Ontario y tambin estn prohibidas en el estado australiano de Nueva Gales del Sur.241 En Hong Kong, la Corte Distrital les concedi a tres hombres pagos por daos despus que la Comisin de Igualdad de Oportunidades concluyera que haban sido despedidos por tener una predisposicin gentica a la esquizofrenia.242 La Cmara de Representantes de los Estados Unidos de Amrica aprob recientemente una Ley de No Discriminacin por Informacin Gentica, con el objeto de prohibir a los empleadores y a las compaas de seguros discriminar basados en la gentica.243 El proyecto de ley ahora se halla en el Senado. Varios pases europeos han introducido tambin la prohibicin a las compaas de seguros de utilizar pruebas genticas predictivas para decidir las primas. Zimbabwe, Rumania y las Bahamas prohben pruebas obligatorias de HIV en el contexto laboral.244 Muchos empleadores africanos conducen evaluaciones de salud previas a la contratacin de empleados que incluyen pruebas de HIV.245 Los pases del Occidente Africano como Kenya y Tanzania prohben por ley la evaluacin de HIV, pero Uganda no cuenta con una ley equivalente.246 En el Oeste de frica, Nigeria247 y Camern248 han adoptado polticas dirigidas a tratar la epidemia de HIV al tiempo de proteger a los empleados infectados de acciones discriminatorias.
Propuestas para la agenda de la 87ma Sesin (1999) de la Conferencia, ante el Organismo de Gobierno de la OIT, GB.267/2, 267ma Sesin, Geneva, noviembre 1996 <http://www.ilo.org/public/english/standards/relm/gb/docs/gb267/gb-2.htm>. 241 Id. 242 "China Is Thwarted by Jobs Ruling: Hong Kong Judge's Decision on Gene Data Hailed as Civil Rights Landmark", The Observer, 1 de octubre de 2000. 243 Genetic Information Non-Discrimination Act of 2007 (GINA), H.R. 493, 110th Cong. (2007). 244 "Equality at work: Tackling the challenge," OIT, 2007. 245 Center for Global Development, Does the Private Sector Care About AIDS?, 20 de enero de 2006, disponible en <http://www.cgdev.org/content/publications/detail/5850>. 246 "Does the Private Sector in East Africa Care About AIDS?," The East African, 31 de enero de 2006. 247 Vea "FG approves workplace policy on HIV/AIDS," This Day, 13 de mayo de 2007. 248 Vea Zekeng L. et al., "Scaling-Up HIV/AIDS Prevention and Care in Cameroon: Lessons Learned by the ational AIDS Control Committee (NACC)," International Conference on AIDS, July 11-15, 2004; "Gov't Tackles HIV/Aids in the Workplace," Cameroon Tribune, 17 de enero de 2006.
240
61
62
Algunos acadmicos expertos proponen que la falta de educacin acerca de los riesgos involucrados conduce a los usuarios a concluir que los beneficios de la socializacin superan los potenciales daos.257 Aunque los usuarios pueden sentir que tienen el control sobre su informacin personal, en muchos casos el contenido subido por el usuario en el sitio de redes sociales se convierte en propiedad del sitio.258 Los sitios de redes sociales crean un repositorio de informacin personal, y a menudo los sitios no educan adecuadamente a sus usuarios sobre los riesgos a la seguridad de su informacin.259 Incluso si los sitios de redes sociales no proporcionan la informacin de sus usuarios a terceras compaas, se presentan problemas de seguridad que dejan vulnerables a los usuarios, y a menudo, sin saberlo. Aunque incluso pequeas piezas de informacin pueden parecer inocuas, cuando se combinan pueden ofrecer a los ladrones de identidades un extremadamente alto ndice de correlacin de identidad. Por ejemplo, combinaciones simples de fechas de nacimiento y cdigos postales pueden ser suficiente informacin para identificar adecuadamente a una persona y proporcionar la base para la obtencin de mayor informacin. La informacin personal, una vez hecha pblica en Internet, puede volverse en contra de los usuarios posteriormente. Muchos grupos incluyendo colegios y padres preocupados estn alentando a los estudiantes a restringirse en la subida de informacin personal a los sitios de redes sociales debido a que los encargados de seleccionar estudiantes para las universidades y los empleadores estn empezando a realizar "verificaciones de personalidad" de los postulantes adems de verificaciones de antecedentes penales.260 Los pases difieren en su postura sobre las verificaciones de personalidad en lnea. Mientras que algunos pases concluyen que no hay ningn tema legal inherente a la investigacin en lnea sobre un empleado, otros pases han establecido barreras legales para impedir este tipo de actividades. En los Estados Unidos de Amrica, la Corte de Apelaciones del Circuito Federal de los Estados Unidos de Amrica recientemente dictamin que el utilizar Google para investigar a un empleado no viola su "derecho fundamental a la equidad."261 En contraposicin Finlandia ha erigido fuertes impedimentos legales que le niegan a los empleadores el derecho de realizar investigaciones en lnea de sus empleados o de potenciales empleados. Al amparo de la Ley de Proteccin de la Privacidad en la Vida Laboral de Finlandia, un empleador puede recolectar informacin sobre sus empleados o los postulantes a puestos de trabajo principalmente de ellos mismos. Si "otras fuentes" son utilizadas, se debe obtener primero el consentimiento del empleado.262 En un proceso, un hombre objet que su
Vea en general Danah Boyd, "Identity Production in a Networked Culture: Why Youth Heart MySpace," 19 de febrero de 2006 <http://www.danah.org/papers/AAAS2006.html>; "Social Network Users Have Ruined Their Privacy, Forever," 2 de agosto de 2007 <http://hexus.net/tech/features/software/7499-social-network-users-ruined-privacy-forever/>; Susan Barnes, "A Privacy Paradox: Social Networking in the United States," disponible en <http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1394/1312>. 258 Schneier, supra. 259 Jones and Soltren, "Facebook: Threats to Privacy," 14 de diciembre de 2005 <http://groups.csail.mit.edu/mac/classes/6.805/student-papers/fall05-papers/facebook.pdf>; see generally Fernanda B. Viegas, "Digital Artifacts for Remembering and Storytelling," 2005 disponible en <http://www.danah.org/papers/HICSS-37.pdf>. 260 Amy Hockert, "Employers Use "Facebook" and "MySpace" to Weed Out Applicants," 9 de septiembre de 2006 <http://www.firstcoastnews.com/news/local/story.aspx?storyid=64453>. 261 Declan McCullagh, "Police Blotter: Fired Federal Worker Sues Over Googling," 9 de mayo de 2007 <http://news.cnet.com/2100-1030_3-6182333.html?part=rss&tag=2547-1_3-0-20&subj=news>. 262 "Dont Google Job Applicants in Finland," 2 de agosto de 2007 <http://www.linksandlaw.com/newsupdate49-job-applicants-finland.htm>.
257
63
empleador haba utilizado informacin en su perjuicio que l public en un grupo de noticias cinco aos atrs.263 Algunas universidades han expulsado a adolescentes por violar los cdigos de conducta despus de descubrir fotos de estudiantes menores de edad posando delante de barriles o porque haban escrito sobre borracheras.264 Los usuarios de sitios de redes sociales tambin deben reconocer que una vez que algo aparece en Internet, es imposible eliminarlo.265 El copiado y almacenamiento intermitente de pginas web realizado por sitios como el Internet Archives Way Back Machine266 pueden hacer accesible la informacin personal por aos, incluso despus de que el contenido relacionado haya sido borrado de un sitio "activo". Los usuarios jvenes, en particular, estn confundidos acerca de lo que es privado y de lo que es pblico en Internet, y ello los vuelve gravemente vulnerables. Una reciente investigacin indica que el 36 por ciento de los padres no vigilan el uso de sitios de redes sociales de sus hijos.267 Los jvenes usuarios no slo deben ser educados respecto de los niveles apropiados de informacin para compartir, sino que tambin deben ser cautelosos sobre a quienes aaden a sus perfiles. Aunque los sitios de redes sociales de nios tales como el Club Penguin,268 puedan proveer un ambiente, en lnea, seguro para los nios, a los jvenes se les debe necesariamente ensear que el intercambio indiscriminado de informacin personal es peligroso y deja a los usuarios vulnerables a los correos comerciales no deseados (spam), al robo de identidad y al acoso de usuarios desconocidos.269 Algunos acadmicos expertos sostienen que la privacidad es ampliamente valorada entre los usuarios de los servicios de redes sociales.270 Este parece ser el caso cuando casi tres cuartos de milln de usuarios protestaron contra las nuevas caractersticas controversiales aadidas por Facebook en septiembre de 2006.271 Las "actualizaciones de noticias" ("news feed") de Facebook renueva una lista personalizada de nuevas historias a lo largo del da, mientras que su "actualizacin mini" ("mini-feed") muestra que ha cambiado recientemente en el perfil de una persona y que contenido (notas, fotos, etc.) han aadido. Luego del anuncio de los lectores de actualizaciones, los usuarios organizaron un grupo de Facebook llamado "Students Against Facebook News Feed" ("Estudiantes Contra las Actualizaciones de Noticas de Facebook") y 740,000 usuarios se unieron para protestar contra las caractersticas de actualizacin. La protesta pblica causada por la caracterstica de "actualizacin" fue una sorpresa para Facebook. La compaa no pens que haba un problema de privacidad debido a que slo estaba combinando datos para hacerles a los usuarios de la red social, su experiencia ms til y entretenida. Sin embargo, los usuarios objetaron el hecho de que Facebook permitiera que las Actualizaciones de Noticias empezaran a distribuir su
263 264
Id.
"Teens Bold Blogs Alarm Area Schools," 17 de enero de 2006 <http://www.healthtechzone.com/news/2006/jan/1292401.htm>. 265 "Social Network Users Have Ruined Their Privacy, Forever," supra. 266 "Internet Archive: Wayback Machine," 2 de agosto de 2007 <http://www.archive.org/web/web.php>. 267 Social Networking Exposes You to Hackers and Identity Thieves, supra. 268 Club Penguin <http://www.clubpenguin.com/>. 269 Vea en general Social network users have ruined their privacy, forever. Supra. 270 Vea en general Unit Structures, "You're not My Friend: A New Look at Privacy on Facebook," 31 de enero de 2007 <http://chimprawk.blogspot.com/2007/01/youre-not-my-friend-new-look-at_31.html>. 271 Facebook CEO: "We Really Messed This One Up", 8 de septiembre de 2006 <http://news.cnet.com/8301-10784_3-6113700-7.html>.
64
informacin sin ninguna advertencia previa.272 Uno de las preocupaciones principales de los usuarios fue que no se les haba comunicado explcitamente como los lectores de las actualizaciones trabajaban y cules eran sus opciones de privacidad. Facebook forz a los usuarios a alterar la configuracin de su privacidad despus de este hecho y despus de que algunas informaciones haban sido publicadas. Adicionalmente, Facebook no reconoci que el aumento de informacin permite la presentacin de datos de manera ms digerible, lo cual presenta preocupaciones sobre privacidad nicas.273 Los usuarios movilizados para lograr un cambio pueden tener un enorme impacto en las normas de privacidad en el mundo en lnea.274 La educacin de los usuarios con relacin a la discrepancia entre las expectativas de los usuarios sobre la privacidad y la actual realidad en lnea es clave en esta rea. Como los indignados usuarios de Facebook demostraron, un usuario motivado y con una enrgica concepcin de sus derechos puede, en el contexto de las redes sociales, ayudar a cambiar el panorama de la privacidad en lnea.
EPIC Social Networking, Social Networking Privacy, 3 <http://epic.org/privacy/socialnet/default.html>. 273 Bruce Schneier, "Facebook and Data Control," 21 de <http://www.schneier.com/blog/archives/2006/09/facebook_and_da.html>. 274 Schneier, supra.
272
de
agosto
de de
2007 2006
septiembre
65
Estos pases reconocen que es necesario permitir a las personas fuera del gobierno el conocer sobre los usos de la interceptacin para limitar los abusos. Estos informes anuales son ampliamente utilizados en muchos pases por los Parlamentarios para supervisar e incluso por los periodistas, las ONGs y otros para examinar las actividades encaminadas al cumplimiento de la ley. Los informes han mostrado un incremento en el uso de la vigilancia en muchos pases entre ellos Australia,275 los Estados Unidos de Amrica y el Reino Unido mientras que otros tales como Canad se han mantenido iguales. Estas leyes estn diseadas para asegurar que actividades legitimas y normales en una democracia tales como el periodismo, las protestas cvicas, la organizacin en sindicatos o la oposicin poltica estn libres de ser sujetos de vigilancias injustificadas debido a que tienen diferentes intereses y objetivos que aquellos en el poder. Adems garantiza que crmenes relativamente menores, especialmente aquellos que generalmente no involucraran telecomunicaciones para su consumacin, no sean utilizados como pretextos para conducir vigilancias intrusivas por razones polticas y de otra ndole. Sin embargo, los abusos de las intervenciones telefnicas han sido revelados en la mayora de los pases, algunas veces ocurriendo a gran escala e involucrando miles de intervenciones ilegales. Los abusos invariablemente afectan a cualquiera que sea "de inters" para el gobierno. Los objetivos incluyen a polticos de oposicin, lderes estudiantiles y trabajadores de derechos humanos.276 Esto puede ocurrir incluso en los pases ms democrticos tales como Dinamarca o Suecia, donde recientemente se revel que las agencias de inteligencia estuvieron conduciendo la vigilancia de miles de activistas de tendencia izquierdista por aproximadamente 40 aos. Ms recientemente los escndalos de interceptaciones han involucrado a los gobiernos de Italia y Grecia. El Comisionado de Derechos Humanos de las Naciones Unidas en 1998 dej en claro que las protecciones de los derechos humanos sobre el secreto de las comunicaciones cubre ampliamente todas las formas de comunicaciones: En concordancia con las disposiciones del Artculo 17 del Pacto Internacional de Derechos Civiles y Polticos la integridad y la confidencialidad de la correspondencia deben ser garantizadas de jure y de facto. La correspondencia debe ser entregada al destinatario sin intercepcin y sin ser abierta o fuera de ello leda. La vigilancia, ya sea electrnica o de otro tipo, las intercepciones telefnicas, telegrficas o de otras formas de comunicacin, la intervencin telefnica y la grabacin de conversaciones debe ser prohibida.277 Muchos pases democrticos alrededor del mundo reconocen la necesidad de mayores protecciones. Recientemente, el Tribunal Constitucional Federal Alemn ha considerado si, las leyes sobre interceptacin aprobadas en 1998, son o no constitucionales.278 En marzo de 2004, el Tribunal Constitucional Federal Alemn
Agencia de Noticias Reuters "In Australia, Chances Are that Your Phone Is Tapped," 16 de septiembre de 2002. 276 United States Department of State, Country Report on Human Rights Practices 1997, J30 de enero de 1998. 277 Comisionado de Derechos Humanos de las Naciones Unidas, El derecho a respetar la privacidad, de la familia, del hogar y de la correspondencia, y la proteccin del honor y la reputacin (Artculo 17), CCPR Comentario General 16, 8 de abril de 1988. 278 The Associated Press, "Top German Court Hears a Challenge to Eavesdropping," in New York Times, 2 de Julio de 2003.
275
67
dictamin279 que porciones significativas de la Grosser Lauschangriff 1998280 las leyes de interceptacin de lneas telefnicas violaban las garantas de dignidad humana y de inviolabilidad de domicilio bajo los Artculos 1 y 13 de la Constitucin, o Ley Bsica.281 El Tribunal mantuvo que ciertas comunicaciones estn protegidas por un rea absoluta de intimidad donde los ciudadanos pueden comunicarse en privado y sin temor de una vigilancia gubernamental.282 Esto incluye las conversaciones con parientes cercanos, sacerdotes, doctores y abogados en su defensa, pero excluye las conversaciones sobre crmenes que ya han sido cometidos o el planeamiento de futuros crmenes. Sin embargo, para justificar la vigilancia entre el objetivo y dichas personas de confianza, el gobierno debe mostrar que "existe una fuerte razn para creer que el contenido de la conversacin no se encuentra en el mbito de la intimidad,"283 y que el crimen es un "delito grave".284 El Tribunal Europeo de Derechos Humanos emiti un dictamen de similar significancia en 2007. En el caso Copland contra Reino Unido, el Tribunal sentencin que, "La recoleccin y el almacenamiento de informacin personal vinculada al telfono de la demandante, as como a su correo electrnico y uso de Internet, sin su conocimiento, califica como una interferencia con su derecho a respetar su vida privada y su correspondencia dentro del alcance del Artculo 8."285
68
telecomunicaciones fueron a su vez monopolios u operados por agencias de telecomunicaciones gubernamentales, este proceso fue generalmente ocultado del ojo pblico. Luego de la desregulacin y de las nuevas participaciones en los Estados Unidos de Amrica a inicios de la dcada de 1990, las fuerzas del orden, encabezadas por el FBI, empezaron a demandar que todos los sistemas de telecomunicaciones actuales y futuros sean diseados para garantizar su capacidad de conducir interceptaciones. Luego de muchos aos de cabildeo, el Congreso de los Estados Unidos de Amrica aprob la Ley de Asistencia de las Comunicaciones para el Cumplimiento de la Ley (CALEA, en ingls) en 1994.287 Esta Ley fija los requerimientos legales para los proveedores de telecomunicaciones y los fabricantes de equipos sobre las capacidades de vigilancia que deben ser incorporadas en todos los sistemas telefnicos utilizados en los Estados Unidos. En 1999, por pedido de la Oficina Federal de Investigaciones (FBI), se dio una orden bajo la CALEA requiriendo a los proveedores que hicieran disponible la localizacin fsica de sus torres de comunicaciones que utilizan los telfonos celulares para conectarse al inicio y final de las llamadas.288 Gracias a un intenso cabildeo, los Proveedores de Servicios de Internet (ISPs) en los Estados Unidos de Amrica fueron exceptuados de la implementacin de estos requerimientos tcnicos bajo la CALEA. Sin embargo, los cambios se sienten en el viento, el FBI est haciendo un llamado a la Comisin Federal de Comunicaciones para ampliar la ley para reconsiderar las comunicaciones de Voz sobre IP (VoIP), es decir, las llamadas telefnicas por Internet y considerar a los proveedores como compaas de telecomunicaciones bajo la CALEA.289 Si estos proveedores son reclasificados, entonces los requerimientos para las capacidades de interceptacin bajo la CALEA tambin ser aplicarn a ellos. La interceptacin de contenidos sobre servicios digitales es una prctica legal comn en otros pases. En Australia la Ley de Telecomunicaciones 1997 coloca obligaciones sobre los operadores de telecomunicaciones para asistir completamente a los organismos encargados de hacer cumplir la ley en la ejecucin de sus deberes y de proporcionar la capacidad de interceptacin. Los costos de estas obligaciones son asumidos por los mismos operadores.290 En el Reino Unido la Ley de Regulacin de los Poderes de Investigacin 2000 requiere que los operadores de telecomunicaciones mantengan una "capacidad razonable de interceptacin" en sus sistemas y sean capaces de proporcionar previo aviso ciertos
Vea la pgina web de EPIC sobre interceptacin telefnica <http://epic.org/privacy/wiretap/>. Tercer Informe y Orden adoptada por la Comisin Federal de Comunicaciones, En el Tema de Asistencia de las Comunicaciones para el Cumplimiento de la Ley, CC Rotulo No. 97-213, FCC 99-230 (1999) (la "Orden"). La Orden fue emitida el 31 de agosto de 1999. Un resumen de la Orden fue publicado en el Registro Federal el 24 de septiembre de 1999. Vea 64 Fed. Reg. 51710. 289 Carta de EPIC al Honorable Michael K. Powell, Presidente de la Comisin Federal de Comunicaciones, 15 de diciembre de 2003, disponible en <http://www.epic.org/privacy/voip/fccltr12.15.03.html>. 290 Ley de Telecomunicaciones 1997, Partes 14 y 15. Adems, la Ley sobre Delitos Informticos de 2001 permite a los funcionarios ejecutantes el solicitar a una "persona especifica" con "conocimientos de una computadora o de un sistema de computo" proporcionar la asistencia en el acceso, copiado o conversin de los datos mantenidos o accesibles desde esa computadora. El incumplimiento de proporcionar la asistencia es una infraccin punible con seis meses de pena carcelaria. Ley sobre Delitos Informticos 2001, No. 161, 2001, que inserta las Secciones 3LA y 201A en la Ley Criminal 1914, disponible en <http://www.comlaw.gov.au/Details/C2004A00937>.
288 287
69
"datos de trfico."291 Adems impone una obligacin a terceros de entregar claves de cifrados. Estos requerimientos fueron posteriormente clarificados en la Orden de Regulacin de los Poderes de Investigacin (Mantenimiento de las Capacidades de Interceptacin) 2002. En los Pases Bajos, una nueva Ley de Telecomunicaciones aprobada en diciembre de 1998 requera que para agosto de 2000, los ISPs tuvieran la capacidad para interceptar todo el trfico con una orden judicial y mantener los registros de usuarios por tres meses.292 Esta ley fue promulgada luego de que XS4ALL, un ISP holands, se rehusara a conducir una amplia interceptacin de las comunicaciones electrnicas de uno de sus usuarios. En Nueva Zelanda, la Ley de Telecomunicaciones (Capacidades de Interceptacin) de 2004 obliga a las compaas de telecomunicaciones y a los ISPs a interceptar llamadas telefnicas y correos electrnicos ante el requerimiento de la polica y de los servicios de seguridad.293 La normativa tambin requiere a los operadores telefnicos descifrar las comunicaciones de un cliente si es que dicho operador le ha provisto el servicio de cifrado.294 En enero de 2002, una nueva Ley sobre la vigilancia de correos y telecomunicaciones entr en vigor en Suiza, exigiendo a los ISPs a realizar todas las acciones necesarias para permitir la interceptacin.295 En contraposicin, el Tribunal Constitucional Federal Austriaco sostuvo, en una sentencia296 en febrero de 2003, que la ley que obliga a los proveedores de servicios de telecomunicaciones a implantar medidas para la interceptacin a su costo es inconstitucional.297 La cooperacin internacional juega un rol importante en el desarrollo de estos estndares. En 1993, el FBI empez a ser el anfitrin de reuniones en sus instalaciones de investigacin en Quantico, Virginia como parte del "Seminario Internacional de Cumplimiento de la Ley mediante las Telecomunicaciones" (ILETS, en ingls). Las reuniones congregaban a representantes de Canad, China (Hong Kong), Australia y la Unin Europea. En estas reuniones, fue adoptada una norma tcnica internacional de vigilancia, basada en las exigencias del FBI a la CALEA, como el nombre de "Normas Internacionales para la Interceptacin." En enero de 1995, el Consejo de la Unin Europea aprob una resolucin secreta adoptando los estndares de la ILETS.298 A continuacin, muchos pases adoptaron la resolucin en sus leyes domesticas sin revelar el rol del FBI en el desarrollo de la norma. Luego de la adopcin, la Unin Europea y los Estados Unidos de Amrica propusieron un Memorando de Entendimiento (MOU, en ingls) para ser firmado por otros pases para comprometerse con los estndares. Muchos pases entre ellos Canad y Australia firmaron inmediatamente el MOU. Otros fueron alentados a adoptar los estndares para asegurar el comercio. Las organizaciones de normas internacionales, entre ellas la Unin Internacional de Telecomunicaciones
Ley de Regulacin de Poderes de Investigacin 2000, Secciones 12 (1) y 22 (4) respectivamente, disponible en <http://www.legislation.gov.uk/ukpga/2000/23/contents>. 292 Ley de Telecomunicaciones 1998. Normas pertinentes a las Telecomunicaciones (Ley de Telecomunicaciones), diciembre 1998. 293 Ley de Telecomunicaciones Capacidades de Interceptacin) 2004, disponible en <http://www.legislation.govt.nz/act/public/2004/0019/latest/DLM242336.html>. 294 Id. en la seccin 8. 295 Ley federal sobre la vigilancia de la correspondencia postal y de las telecomunicaciones (Loi fdrale sur la surveillance de la correspondance postale et des tlcommunications), (<http://www.admin.ch/ch/f/rs/c780_1.html>) y su respectivo nuevo decreto (<http://www.admin.ch/ch/f/rs/c780_11.html>). 296 <http://www.vfgh.gv.at/>. 297 Vea ms detalles en <http://epic.org/privacy/intl/austrian_vfgh-022703.html>. 298 Resolucin del Consejo del 17 de enero de 1995 relativo a la interceptacin legal de Telecomunicaciones, Diario Oficial de las Comunidades Europeas, 4 de noviembre de 1996, disponible en <http://www.interlex.it/testi/eu95lawf.htm>.
291
70
(UIT) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI, en ingls), fueron abordados con xito para adoptar los estndares.299
Vea EPIC y Privacy International, Privacy and Human Rights: An International Survey of Privacy Laws & Developments 60 (EPIC 2006). 300 Vea PHR 2005, supra, 62-63. 301 United States contra Scarfo, 180 F. Supp. 2d 572 (D.N.J. 2001). Vase en general la pgina web de EPIC sobre Scarfo <http://epic.org/crypto/scarfo.html>. 302 Elinor Mills Abreu, "FBI Confirms 'Magic Lantern' Project Exists," Reuters, 12 de diciembre de 2001. 303 Ley No. 378, 6 de junio de 2002.
299
71
Conservacin de Datos
Una nueva tcnica de vigilancia de las comunicaciones involucra la conservacin de los registros de informacin de las personas que no son sospechosas de delitos y que estn
Consejo de Europa Convencin sobre Ciberdelincuencia (ETS no: 185), abierto para su firma el 8 de noviembre de 2001. 305 Vea PHR 2005, supra.
304
72
fuera del contexto de cualquier investigacin penal o fin comercial.306 El 30 de mayo de 2002, el Parlamento Europeo vot la Directiva sobre la Privacidad y las Comunicaciones Electrnicas de la Unin Europea.307 En una notable vuelta de tuerca de la oposicin original a la conservacin de datos, los miembros votaron para permitir a cada uno de los gobiernos de la UE a promulgar leyes para conservar datos de trfico y de ubicacin de todas las personas que utilicen telfonos mviles, el servicio de mensajes cortos (SMS, en ingls), telefona fija, faxes, correos electrnicos, canales de conversacin, Internet, o cualquier otro aparato de comunicacin electrnica, para comunicarse. La nueva Directiva revoca la Directiva de Privacidad de las Telecomunicaciones 1997 al permitir explcitamente a los pases de la Unin Europea a forzar a los proveedores de servicios de Internet y a las compaas telecomunicaciones a grabar, catalogar y almacenar los datos de comunicaciones de sus subscriptores.308 En marzo de 2006, la Unin Europea modific la Directiva sobre la Privacidad y las Comunicaciones Electrnicas del 2002 aprobando una Directiva sobre la Conservacin Obligatoria de Datos de Trfico de Comunicaciones.309 La nueva Directiva exige a los Estados Miembros a requerir a los proveedores de comunicaciones a conservar los datos de comunicaciones por un periodo entre 6 meses y 2 aos. Los Estados Miembros tienen plazo hasta septiembre de 2007 para trasladar las disposiciones de la Directiva en sus legislaciones nacionales; sin embargo, est disponible una postergacin de 18 meses adicionales, hasta marzo de 2009. Diecisis de los 25 Estados Miembros de la UE han declarado que postergarn la implementacin de la conservacin de datos del trfico de datos de Internet por el periodo adicional.310 La aprobacin de esta Directiva ha sido altamente controversial. Un significativo movimiento pblico contra la conservacin de datos se ha formado, con algunas miles de personas asistiendo a demostraciones y cerca de 10,000 personas declarando que presentar una demanda ante el Tribunal Constitucional de Alemania.311 La Digital Rights Ireland present una demanda al gobierno de la UE en julio de 2006. El caso cuestiona la base legal para la Directiva de Conservacin de Datos, alegando que ste es un asunto vinculado a la justicia penal y como tal la medida apropiada hubiera sido una Decisin Marco al amparo del tercer pilar.312 Europa no est sola. Australia ha propuesto un cdigo de prctica para que las ISP conserven datos de trfico de forma voluntaria.313 Argentina ha aprobado una ley solicitando la retencin de datos de trfico por 10 aos.314 Otros pases tambin estn demandando la conservacin de los detalles de los subscriptores, y estn impidiendo el
Vea la pgina de EPIC sobre Conservacin de Datos <http://epic.org/privacy/intl/data_retention.html>. Directiva 2002/58/CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas (Directiva sobre la privacidad y las comunicaciones electrnicas) <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:ES:PDF>. 308 Id. en el Articulo 15 (1). 309 Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico de comunicaciones y por lo que se modifica la Directiva 2002/58/CE, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>. 310 Id. 311 Data Retention is No Solution <http://www.dataretentionisnosolution.com/>. 312 Digital Rights Ireland Data Retention <http://www.digitalrights.ie/2006/07/29/dri-challenge-to-dataretention/>. 313 Electronic Frontiers Australia, "Big Brother ISP Code Condemned," 19 de agosto de 2003. 314 Pablo Palazzi, Terrorism Laws in Latin America, Privacy International, septiembre 2004.
307 306
73
acceso annimo a Internet a travs de la peticin de cedulas de identidad en los cibercafs,315 mientras que otros estn prohibiendo el uso annimo de telefona mvil.
Consejo de Europa
El Consejo de Europa (CoE, en ingls) es una organizacin intergubernamental formada en 1949 por pases Europeos Occidentales. Actualmente tiene 45 miembros. Su rol principal es "reforzar la democracia, los derechos humanos y el imperio de la ley a travs de sus Estados Miembros." Su descripcin tambin considera que "acta como un foro para examinar una gama de problemas sociales, tales como la exclusin social, la intolerancia, la integracin de los inmigrantes, la amenaza a la vida privada por parte de nuevas tecnologas, asuntos de biotica, terrorismo, trfico de drogas y actividades criminales." El 8 de septiembre de 1995, la CoE aprob una recomendacin318 para ampliar el acceso de las fuerzas del orden a las computadoras en los Estados Miembros. En 1997, la CoE
Privacy International & the GreenNet Educational Trust, Silenced: An International Report on Censorship and Control on the Internet, septiembre 2003. 316 Dr. Paul Norman, "Policing 'High Tech Crime' in the Global Context: the Role of Transnational Policy Networks," disponible en <http://eprints.libr.port.ac.uk/archive/00000063/01/PN_2001_Cyber_Crime_Chapter.pdf>. 317 Para detalles vea <http://www.pi.greennet.org.uk/issues/cybercrime/>. 318 La Recomendacin de Comit de Ministros de los Estados Miembros Referente a los Problemas de la Ley de Procedimientos Criminales Vinculados con la Informacin estipula que: "Sujeto a los privilegios legales o a la proteccin, las autoridades que investigan deben tener el poder de ordenar a las personas que tengan los datos en un sistema de computo bajo su control a proporcionar toda la informacin necesaria para permitir el acceso a un sistemas de computo y a los datos contenidos. La ley de procedimiento penal debe asegurar que una orden similar puede ser dada a otras personas que tiene conocimiento acerca del funcionamiento del sistema de cmputo o de las medidas aplicadas para obtener los datos contenidos. Obligaciones especificas deben imponerse a los operadores de redes pblicas o privadas que ofrezcan servicios de telecomunicaciones al pblico para aprovechar todas las medidas tcnicas necesarias que posibiliten la interceptacin de las telecomunicaciones por parte de las autoridades investigadoras. Se deben considerar las medidas necesarias para minimizar los efectos negativos del uso del cifrado en la investigacin de infracciones penales, sin afectar su uso legitimo ms all de lo estrictamente necesario."
315
74
form un Comit de Expertos en Ciberdelincuencia (PC-CY). El grupo se reuni en secreto por muchos aos elaborando un tratado internacional, y en abril de 2000, publicaron el "Borrador de la Convencin sobre Ciberdelincuencia, versin 19." Varias versiones posteriores fueron publicadas hasta la versin 27 divulgada en junio de 2001. La convencin tiene tres partes. La Parte I propone la criminalizacin de las actividades en lnea tales como la intromisin en datos y sistemas, la evasin de los derechos de autor, la distribucin de pornografa infantil y el fraude informtico. La Parte II requiere a los estados que la ratifiquen, el aprobar leyes para incrementar las capacidades de vigilancia domstica para atender nuevas tecnologas. Esto incluye la potestad para interceptar comunicaciones en Internet, obtener acceso a datos de trfico en tiempo real o a travs de rdenes de proteccin dirigidas a las ISPs y el acceso a datos protegidos o "privilegiados." La parte final del tratado requiere a todos los Estados a cooperar en las investigaciones criminales. De modo que por ejemplo, el pas A pueda solicitar al pas B el utilizar cualquiera de las ya mencionadas potestades de investigacin dentro del pas B para un crimen que est siendo investigado en el pas A. No existe ningn requerimiento para que el crimen en el pas A realmente califique como crimen en el pas B, es decir, no hay ninguna necesidad de doble criminalidad. En este sentido, la convencin es el mayor rgimen de asistencia legal mutua en asuntos criminales jams creado. El texto borrador de la convencin fue duramente criticado por una amplia variedad de partes interesadas, entre ellas grupos de privacidad y de libertades civiles por su promocin a la vigilancia y la falta de controles tales como la necesidad de una autorizacin o de una doble criminalidad;319 destacados expertos en seguridad por las previamente articuladas limitaciones sobre seguridad de software;320 y la industria por los costos de implementacin de los requerimientos, y los retos que implicaran responder a las peticiones de 43 pases diferentes. El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 ha expresado su preocupacin respecto de las implicaciones de la convencin sobre la privacidad y los derechos humanos, concluyendo que: El Grupo de Trabajo considera pues, que es necesario aclarar el texto de los artculos del proyecto de convenio porque su redaccin resulta con frecuencia demasiado vaga y confusa, y podra no constituir fundamento suficiente para las leyes y medidas vinculantes destinadas a limitar legalmente los derechos y libertades fundamentales.321 El texto del convenio fue finalizado en septiembre de 2001. Despus de los ataques terroristas en los Estados Unidos de Amrica, el convenio fue dispuesto como un medio para combatir el terrorismo. Una ceremonia de firma se llev a cabo en noviembre de 2001 donde fue firmada por 30 pases y posteriormente firmada por otros ocho. La convencin entr en vigor el 7 de enero de 2004, una vez que fue ratificada por cinco estados signatarios, todos miembros del Consejo de Europa.322 La convencin fue
Vea, p.ej., Global Internet Liberty Campaign (GILC) Member Letter on Council of Europe Convention on Cyber-Crime, October 18, 2000 <http://gilc.org/privacy/coe-letter-1200.html>; GILC Member Letter on Council of Europe Convention on Cyber-Crime Version 24.2, 12 de diciembre de 2000 320 Statement of Concerns, 20 de julio de 2000. Disponible en <http://spaf.cerias.purdue.edu/coe/> [visitado en 2007]. 321 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 4/2001 acerca del proyecto de convenio del Consejo de Europa sobre el ciberdelito, 22 de marzo de, 2001. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/wp41es.pdf>. 322 Consejo de Europa, Convenio sobre Ciberdelito, Estado al: 18/06/2004, disponible en <http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG>.
319
75
originalmente abierta a los miembros de la CoE y a pases que estuvieron involucrados en su desarrollo, entre ellos Canad, Japn, Sudfrica y los Estados Unidos de Amrica. Ahora que est en vigor, otros pases fuera de la CoE como China y Singapur pueden tambin pedir unirse.
76
El 12 de junio de 2007 el Consejo de la OCDE adopt una nueva Recomendacin para un marco de cooperacin en el cumplimiento de las normas de privacidad.329 El marco refleja el compromiso de parte de los gobiernos de mejorar sus marcos domsticos par el cumplimiento de las leyes de privacidad para permitir a sus autoridades mejores elementos para cooperar con autoridades extranjeras, as como proporcionar asistencia mutua entre ellas en el cumplimiento de las leyes de privacidad. Las recomendaciones especficas incluyen el desarrollo de un mecanismo de ejecucin de cooperacin internacional y herramientas de asistencia mutua tales como notificaciones, remisin de denuncias, asistencia en investigaciones e intercambio de informacin, sujetos a salvaguardas apropiadas. Las recomendaciones tambin hacen un llamado al debate y la colaboracin entre los grupos de inters e instruye a la comisin de la OCDE pertinente a monitorear e informar sobre la implementacin de estas medidas.
77
creacin del Intelsat y las telecomunicaciones digitales, Menwith Hill y otras estaciones desarrollaron la capacidad para espiar a gran escala sobre fax, telex y mensajes de voz soportados por satlite.330 El uso de Echelon teniendo como blanco las comunicaciones diplomticas fue destacado, como resultado de las revelaciones realizadas en 2003 por una empleada de la inteligencia britnica, antiguos funcionarios de las Naciones Unidas, y un antiguo Ministro del Gabinete Britnico, relativas al espionaje de la estadounidense NSA y de la britnica GCHQ sobre las comunicaciones telefnicas y conversaciones privadas del Secretario General de la ONU Kofi Annan.331 Las conversaciones diplomticas de la ONU y de las misiones de sus pases miembros estn protegidos ante el espionaje por cuatro convenciones internacionales: la Declaracin Universal de los Derechos Humanos (Artculo12)332 la Convencin de Viena sobre Relaciones Diplomticas de 1961 (Artculo 27),333 el Acuerdo de Sede Central de 1947 entre la ONU y los Estados Unidos de Amrica,334 y la Convencin sobre los Privilegios y las Inmunidades de la ONU de 1946 (Artculo 2).335
Vea PHR 2005, supra, 76-78. La controversia empez cuando repentinamente el gobierno britnico abandon su caso del Acta de Secretos Oficiales contra Katharine Gun, una lingista china trabajando para la GCHQ en Cheltenham, Reino Unido. Gun fue acusada de filtrar a los medios britnicos un memorando TOP SECRET/COMINT de la NSA a la GCHQ pidiendo su ayuda en la interceptacin de las comunicaciones de los miembros no permanentes del Consejo de Seguridad de la ONU para determinar sus intenciones en la Resolucin del Consejo de Seguridad autorizando la guerra contra Irak. Despus de que el caso contra Gun fuera abandonado, el antiguo Ministro de Desarrollo Internacional de Gran Bretaa Clare Short revel que se le mostr una trascripcin de una conversacin confidencial del Secretario General de la ONU Kofi Annan. Se inform que las comunicaciones telefnicas y las conversaciones privadas fueron espiadas por la NSA y la GCHQ. De acuerdo con Andrew Wilkie, antiguo funcionario de la inteligencia australiana, el espionaje a la ONU fue apoyada por Australia, por medio del "acuerdo de los cinco ojos," una referencia a Echelon y al Acuerdo UKUSA. (Mark Forbes, "Australia 'Party to Bugging of UN,'" The Age (Melbourne), 19 de junio de 2004.) A partir de las revelaciones de Short, muchos otros antiguos funcionarios de la ONU han salido al frente para describir espionajes similares por parte de los britnicos y de los estadounidenses, los cuales comparten seales de inteligencia desde hace dcadas, esta relacin es conocida como el Acuerdo UK-USA, junto con Canad, Australia, y Nueva Zelanda. El antiguo Secretario General de la ONU Boutros Boutros Ghali, los inspectores de armas de la ONU Hans Blix, Rolf Ekeus, y Richard Butler, el Comisionado de Derechos Humanos de la ONU Mary Robinson, el antiguo embajador mexicano ante la ONU Aguilar Zinser, el actual embajador mexicano ante la ONU Enrique Berruga, la ministro de Relaciones Exteriores de Chile Soledad Alvear, el embajador chileno ante Gran Bretaa Mariano Fernandez, y el antiguo embajador chileno ante la ONU Juan Gabriel Valdes, todos ellos han hablado sobre el espionaje a ellos y a sus pases por los estadounidenses y los britnicos. Vase en general <http://epic.org/privacy/wiretap/diplomatic.html>. 332 "Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputacin. Toda persona tiene derecho a la proteccin de la ley contra tales injerencias o ataques." 333 "1. El Estado receptor permitir y proteger la libre comunicacin de la misin para todos los fines oficiales. Para comunicarse con el gobierno y con las dems misiones y consulados del Estado acreditante, dondequiera que se radiquen, la misin podr emplear todos los medios de comunicacin adecuados, entre ellos los correos diplomticos y los mensajes en clave o en cifra. Sin embargo, nicamente con el consentimiento del Estado receptor podr la misin instalar y utilizar una emisora de radio; 2. La correspondencia oficial de la misin es inviolable. Por correspondencia oficial se entiende toda correspondencia concerniente a la misin y a sus funciones." 334 La Seccin 9 estipula que: "La zona de la sede central ser inviolable." 335 "Los locales de las Naciones Unidas sern inviolables. Los haberes y bienes de las Naciones Unidas, dondequiera que se encuentren y en poder de quienquiera que sea, gozarn de inmunidad contra allanamiento, requisicin, confiscacin y expropiacin y contra toda otra forma de interferencia, ya sea de carcter ejecutivo, administrativo, judicial o legislativo."
331 330
78
79
sucesivamente. Por ejemplo, para autenticar si un usuario est permitido de comprar alcohol, todo lo que necesita ser autenticado es que el usuario tiene al menos 21 aos de edad. En este ejemplo, la identificacin de la persona slo servir como un medio indirecto para lograr la autenticacin que es de inters ("mayor de 21 aos de edad"). En el "viejo" mundo, los individuos podan fcilmente lograr acceder a servicios sin revelar su identidad, ya sea mostrando sus privilegios o derechos o proporcionando a los proveedores de servicios identificadores "adecuados al contexto", tales como un nmero de empleado o un nmero del seguro social. Mientras que tales identificadores sirven para identificar a los usuarios, estos slo lo hacen dentro de esferas especficas de actividad; las organizaciones no pueden utilizarlos para cruzar perfiles de usuarios entre esferas de actividad. Lamentablemente, la mayora de las tecnologas de autenticacin ms difundidas hoy en da (tales como contraseas, caractersticas biomtricas, Kerberos y PKI) bsicamente causan ineludibles identificaciones a travs de identificadores que son mundialmente nicos. Estas tecnologas de autenticacin basadas en la identidad fueron inventadas hace muchas dcadas, cuando las redes abiertas existan difcilmente, ni qu decir de organizaciones buscando compartir informacin personal en forma segura por medio de esas redes. Consecuentemente, la nica proteccin de privacidad que los diseadores de tcnicas tradicionales de autenticacin tenan en mente fue la proteccin ante las interceptaciones y otros intrusos no autorizados. Sin embargo, las tecnologas tradicionales de autenticacin no son apropiadas para tratar las crecientes necesidades de autenticacin en estos das y pocas, ya que ellas permiten a las organizaciones rastrear y hacer cruces de perfiles de usuarios sobre la base de identificadores mundiales nicos (tales como claves cifradas) que son ineludiblemente asignadas a ellos. Una tendencia igualmente preocupante es la centralizacin de los poderes de autenticacin de diferentes organizaciones dentro de una sola organizacin confiable que acta en representacin de todas las organizaciones constituyentes. En su arquitectura original de Passport338 por ejemplo, Microsoft confi en la centralizacin de todos los datos recolectados de los visitantes de pginas web con objeto de proporcionar servicios de autenticacin en nombre de un nmero rpidamente creciente de sitios web. Microsoft abandon esta arquitectura luego de demandas de privacidad por parte de grupos de consumidores y funcionarios de la UE,339 as como de una falta de adopcin por parte de los proveedores de servicios quienes fueron altamente reticentes a confiarles los datos de sus clientes. La arquitectura de autenticacin "federada" promovida por la Liberty Alliance340 (una alianza industrial de aproximadamente 160 industrias claves en una amplia gama de sectores, dirigidas por muchas compaas principales que fueron reticentes a delegar su autonoma a la iniciativa original del Passport de Microsoft) deja los datos personales en las organizaciones que los colectan, y permite la coexistencia de mltiples "crculos de confianza". Sin embargo, an esta arquitectura no hace nada para mejorar la privacidad de los usuarios: el poder de autenticacin (y por tanto el poder del control de acceso) permanece centralizado. Especficamente, cuando un proveedor de servicio trata con un usuario, este consulta en tiempo real a la central "proveedora de identidad" en su crculo de confianza; el proveedor de identidad simplemente devuelve una confirmacin de la autenticacin como validacin de la identidad afirmada del acceso solicitado, la
338 339
Mayor informacin disponible en <http://epic.org/privacy/consumer/microsoft/passport.html>. Id. 340 Mayor informacin disponible en <http://epic.org/privacy/authentication/projectliberty.html>.
80
cual es utilizada por el proveedor del servicio para su propio proceso de autorizacin. Aunque los usuarios puedan ser "seudnimos" dirigidos a los proveedores de servicios (en Liberty Alliance el proveedor de identidad asigna diferentes nombres de usuario al mismo usuario, uno por proveedor de servicio), estos no estn ciertamente vis--vis con las ms poderosas de las partes en esta arquitectura: el proveedor de identidades. Dentro de cada crculo de confianza, el proveedor de identidad puede hacer un seguimiento, ubicar y enlazar en tiempo real todas las interacciones entre los usuarios y las organizaciones. El proveedor de identidad puede incluso suplantar usuarios y falsamente negarles acceso a cualquier sitio. Mientras que tales enfoques de centralizacin de autenticacin puedan satisfacer las necesidades de las grandes empresas que desean hacer manejo de identidades relacionadas a empleados y a proveedores dentro de sus sucursales internas, ms all de este restringido contexto, el enfoque rpidamente se vuelve altamente problemtico con relacin a la privacidad. Este podra incluso estar en conflicto con la legislacin de privacidad. Si es adoptado a una escala gubernamental, las implicaciones de estas arquitecturas invasivas de la privacidad seran ciertamente sin precedentes. En un mundo electrnico, si al nivel tcnico (por medio del anlisis del flujo electrnico de datos) todos es inevitablemente identificable a travs de identificadores nicos globales, la legislacin sobre privacidad se vuelve virtualmente intrascendente; Cmo podra uno forzar a las organizaciones a no colectar informacin identificable cundo no pueden impedir que esta sea entregada a ellos? La nica salida del aparente conflicto entre la autenticacin y la privacidad es recurrir a tecnologas de autenticacin que tcnicamente separen la nocin de autenticacin de aquella de identificacin. Dos dcadas de investigacin en criptografa han demostrado que la autenticacin segura y la privacidad no son concesiones, sino que se refuerzan mutuamente cuando se implementan apropiadamente. Utilizando las tcnicas que estn enraizadas en la criptografa moderna tales como la Digital Credentials,341 es completamente posible el realizar una autenticacin segura sin necesariamente requerir la identificacin. Por ejemplo, la autenticacin basada en roles puede ser implementada de manera tal que el solicitante del acceso no pueda ser identificado De manera ms general, las tcnicas de autenticacin que preservan la identidad permiten a cada parte involucrada en el procesamiento electrnico y en el reenvo de informacin sensible en trminos de privacidad a retener de manera segura un control fino sobre la informacin, aun cuando la informacin es transmitida electrnicamente ms all de los cortafuegos de la corporacin y a travs de dominios organizacionales arbitrarios. En ningn punto de la cadena de informacin electrnica la transferencia de informacin de una parte a la siguiente permitir a ninguna de las partes saber ms de lo que el remitente expresamente permite. Esfuerzos internacionales de investigacin estn actualmente en curso para crear sistemas de autenticacin que preserven el anonimato, e incluyan el desarrollo de nuevas tecnologas que favorezcan la privacidad para ser utilizadas en tales programas.342 Estas tecnologas favorables a la privacidad permiten la separacin de
Stefan Brands, "Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy," MIT Press, Agosto 2000, con el prlogo del Prof. Ronald L. Rivest. Vase <http://www.credentica.com/the_mit_pressbook.html>. 342 Vea, p.ej., Carlisle Adams, "Delegation and Proxy Services in Digital Credential Environments," Presentado en el 7mo Taller Annual de Privacidad y Seguridad, "Your Identity Please: Identity Theft and Identity Management in the 21st Century," 2 de noviembre de 2006, disponible en <http://www.idtrail.org/files/cacrwkshpdigcred02nov06.pdf>; Stefan Brands, "Non-Intrusive Cross341
81
autenticacin e identificacin y estn siendo desplegadas en respuesta a vulnerabilidades de seguridad. Tales tecnologas pueden insertarse en metasistemas de identificacin, tales como el CardSpace de Microsoft.343 Mientras que la configuracin por defecto de CardSpace no cumple actualmente con estndares establecidos para la preservacin de la privacidad,344 este modelo debe ser estudiado en detalle cuando se consideren tecnologas de autenticacin.345 En junio de 2007, el Consejo de la OCDE aprob la Recomendacin alentando a los Estados Miembros a establecer enfoques compatibles, tecnolgicamente neutros para facilitar la autenticacin a travs de las fronteras. La Gua fija el contexto y la importancia de la autenticacin electrnica para el comercio electrnico, el gobierno electrnico y muchas otras interacciones sociales. Este dispone varios principios fundamentales y operacionales que constituyen un denominador comn para la interoperabilidad a travs de las jurisdicciones. Segn la OCDE, la autenticacin electrnica es un componente esencial de cualquier estrategia para proteger los sistemas y redes de informacin, datos financieros, informacin personal y otros activos del acceso no autorizado o del robo de identidad. La autenticacin electrnica es por tanto esencial para el establecimiento de una rendicin de cuentas en lnea.346 Cada vez que se implemente una nueva medida de autenticacin para un mecanismo de transaccin existente o nuevo, es imperativo que los diseadores y adoptantes analicen cunta informacin personalmente identificable es realmente necesaria de ser revelada para propsitos de autenticacin. Asumiendo que la revelacin de informacin es necesaria y proporcional con relacin a la naturaleza de la transaccin, entonces se debe buscar implementar las necesidades de seguridad utilizando las tecnologas de autenticacin que protejan la privacidad, en vez de recurrir a los enfoques basados en la ineludible identificacin.
Domain Digital Identity Management," Presentado en los Anales del 3er Taller Anual PKI R&D, Abril 2004, disponible en <http://www.idtrail.org/files/cross_domain_identity.pdf>; David Chaum, "SecretBallot Receipts: True Voter-Verifiable Elections," Presentado en la Serie de Seminarios ITL, "SecretBallot Receipts: True Voter-Verifiable Elections," National Institute of Standards & Technology, 19 de mayo de 2004; Paul Van Oorschot & S. Stubblebine, "Countering Identity Theft through Digital Uniqueness, Location Cross-Checking, and Funneling," Criptografa Financiera & Seguridad de Datos (2005), disponible en <http://fc05.ifca.ai/p03.pdf>. 343 Vea el Windows CardSPace <http://windows.microsoft.com/en-us/windows-vista/WindowsCardSpace>; vea tambin OpenCard <http://www.openscdp.org/ocf/>. 344 Stefan Brands, "User Centric Identity: Boon or Worst Nightmare to Privacy?," Identity Corner, 17 de noviembre de 2006, disponible en <http://idcrnr.wordpress.com/2006/11/17/user-centric-identity-boonor-worst-nightmare-to-privacy/>. 345 Vea en general, National Research Council, "Who Goes There? Authentication through the Lens of Privacy" (National Academies 2003). 346 OCDE Recomendacin sobre Autenticacin Electrnica y Orientacin para la Autenticacin electrnica, disponible en <http://www.oecd.org/document/7/0,3343,en_2649_34223_38909639_1_1_1_1,00.html>.
82
Registros Pblicos
En los ltimos aos los pases alrededor del mundo han dado grandes pasos en la provisin de acceso a los registros pblicos a sus ciudadanos como un medio de combatir el abuso de la autoridad gubernamental, la corrupcin y la promocin de la libertad de prensa. Actualmente, ms de 70 pases alrededor del mundo han adoptado leyes de transparencia gubernamental o de libertad de la informacin.347 Los registros pblicos presentan algunos de los ms difciles retos de privacidad. Por un lado, los registros pblicos pueden asistir a los individuos en asegurarse que un gobierno se mantiene transparente y responsable. Por otro lado, los registros pblicos pueden convertirse de una herramienta de fortalecimiento ciudadano a una que faculte a los gobiernos y negocios a rastrear a los ciudadanos.348 La Convencin de las Naciones Unidas contra la Corrupcin alienta a los pases a desarrollar medios para proveer de acceso a los registros pblicos y al mismo tiempo proteger la privacidad y los datos personales.349 De manera creciente, informacin personal est siendo recogida de los registros pblicos para crear perfiles detallados de individuos. Los registros pblicos pueden contener muchos tipos de informacin personal que es valiosa comercialmente. Entre ellas: nmeros de Seguridad Social, registros de nacimientos, informacin sobre arrestos, antecedentes civiles, antecedentes penales, direcciones, informacin de licencia de conducir, transacciones de venta de tierras, registros de participacin de activos, propiedad de corporaciones, estado civil, presencia de hijos, status laboral, e informacin de salud. A menudo, los individuos son obligados por ley a proporcionar informacin personal completa y fidedigna a las autoridades del gobierno, informacin que luego es colocada en los registros pblicos. Por ejemplo, con el fin de ejercer el derecho de matrimonio, en algunos estados una licencia pblicamente disponible debe ser llenada en un juzgado conteniendo los Nmeros de Seguridad Social de las personas. Las leyes de registros pblicos tambin son vitales para el cumplimiento de derechos de privacidad fundamentales tales como protegerse contra la creacin de bases de datos secretas, el cumplimiento del derecho a corregir informacin inexacta, y el saber cundo, dnde y cmo se utiliza la informacin obtenida de los ciudadanos. El advenimiento del acceso electrnico remoto a los sistemas de registros pblicos ha levantado el espectro de una ms vasta posibilidad de exploracin de datos y creacin de perfiles. La exploracin de bases de datos de registros pblicos pronto no requerir ms el tiempo y el dinero que implica el trasladarse a la localizacin fsica de los registros. Los analistas de datos sern capaces de acceder remotamente a los sistemas de registros pblicos y utilizarn software ampliamente difundido para recoger informacin personal. Esta recoleccin de informacin personal ya ha tenido un impacto sustancial en las personas.
Privacy International, Freedom of Information Around the World 2006 Report, 9 de septiembre de 2006, disponible en <https://www.privacyinternational.org/article/freedom-information-around-world2006-report>. 348 Daniel J. Solove, Access and Aggregation: Public Records, Privacy, and the Constitution, 86 Minnesota Law Review 6 (2002). 349 Convencin de las Naciones Unidas contra la Corrupcin, Artculo 10 Informacin Pblica, disponible en <http://www.mecon.gov.ar/basehome/informes/convencion_de_las_naciones_unidas_contra_la_corrupci on.pdf>.
347
83
La irrestricta recoleccin comercial de informacin de los registros pblicos ha permitido al gobierno de los Estados Unidos de Amrica obtener con facilidad expedientes detallados de ciudadanos.350 A travs de una alianza privada-publica, muchas compaas creadoras de perfiles hacen accesibles al gobierno expedientes de consumidores. Una compaa en particular, ChoicePoint,351 ha emergido como el lder en el suministro de informacin a las fuerzas del orden y a otras agencias gubernamentales.352 ChoicePoint mantiene pginas web personalizadas para agencias federales individuales para facilitar la venta de informacin de los registros pblicos a la polica.353 Como resultado de las peticiones iniciadas por EPIC bajo el amparo de la Ley de Libertad de Informacin (FOIA, en ingls), se descubri que ChoicePoint estaba vendiendo las bases de datos de cdulas de identidad nacionales de varios pases Latinoamericanos a la agencia encargada del cumplimiento de la ley en Inmigracin de los Estados Unidos de Amrica.354 A raz de esta revelacin, varios pases de Centroamrica y Sudamrica han iniciado investigaciones sobre la legalidad de esta transferencia de informacin.
Chris J. Hoofnagle, Big Brother's Little Helpers: How ChoicePoint and Other Commercial Data Brokers Collect, Process, and Package Your Data for Law Enforcement, University of North Carolina Journal of International Law & Commercial Regulation (Primavera 2004). 351 Vase ChoicePoint, disponible en <http://epic.org/privacy/choicepoint/>. 352 "If the FBI Hopes to Get the Goods on You, It May Ask ChoicePoint," Wall Street Journal, 13 de abril de 2001. 353 Vase ChoicePoint FBI; ChoicePoint DEA; ChoicePoint Government 354 Documentos disponibles en <http://epic.org/privacy/publicrecords/inschoicepoint.pdf>.
350
84
Parte Introductoria
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for Media and Communications Studies (CMCS), se complacen en presentar la investigacin titulada "Privacidad y Derechos Humanos en Europa (EPHR) 2010", financiada por el Programa Especial "Derechos Fundamentales y Ciudadana", de la Comisin Europea (2007-2013).
85
86
Este proyecto fue financiado con el apoyo del Programa de Derechos Fundamentales y Ciudadana de la Comisin Europea.
87
HALLAZGOS PRINCIPALES
Europa es el lder mundial en derechos de privacidad. Pero contar con un liderazgo como ste, implica preocuparse por el futuro. La Directiva de Proteccin de Datos ha sido implantada en todo los Estados Miembros de la Unin Europea e incluso ms all, pero todava persisten ciertas inconsistencias. La armonizacin de la vigilancia con la que se amenaz una vez, ya est ahora en retirada. Sin embargo, hay tantas lagunas y exenciones que cada vez es ms problemtico tener una comprensin completa de las situaciones de privacidad en los pases de Europa. El disfraz de la "seguridad nacional" engloba muchas prcticas, minimiza las autorizaciones de salvaguardas y previene las omisiones. Cul es la primera conclusin? La situacin est entreverada. Y para un lder mundial, esto es poco convincente e inaceptable.
Lo bueno
Las democracias europeas gozan, en general, de buena salud, contando la mayora de ellas con protecciones constitucionales. Las polticas de vigilancia han enfrentado obstculos en toda Europa, entre ellos desafos polticos, problemas de implementacin de polticas y la resistencia de parte de los reguladores, la sociedad civil, el pblico en general y la industria. Los reguladores europeos estn recibiendo cada vez ms quejas, lo cual interpretamos como un signo de un incremento en la toma de conciencia sobre los problemas de la privacidad y sobre los deberes de los reguladores. Se crearon los requisitos de notificacin para las personas puestas bajo vigilancia secreta (Luxemburgo, Suiza, Repblica Checa).
Lo heroico
Grecia: en 2007 hubo una renuncia colectiva por parte del regulador en protesta contra la insistencia del gobierno en replantear el sistema de vigilancia de las Olimpiadas. Alemania: grupos organizaron una campaa contra la retencin de datos de comunicaciones en la cual 34,000 personas presentaron el caso ante el Tribunal Constitucional contra la ley. Pases Bajos: la poltica obligatoria sobre medidores inteligentes tuvo que ser eliminada ante la oposicin a esta. Reino Unido: las ONGs organizaron campaas polticas contra las polticas de vigilancia del anterior gobierno, que resultaron en la derogacin de la poltica sobre temas que iban desde documentos de identificacin y pasaportes biomtricos, hasta prcticas vinculadas al ADN y grandes bases de datos.
Lo vergonzoso
Muchas propuestas implementacin. ambiciosas de vigilancia han fracasado en su
88
La utilizacin de pasaportes biomtricos y de retencin de datos est fragmentada. Los recortes financieros han afectado la capacidad de los reguladores para hacer su trabajo, p.ej. en Letonia, Rumania. Las autorizaciones ministeriales todava existen en demasiados pases, entre estos, Irlanda, Malta, Reino Unido. El acceso a datos financieros est en aumento, p.ej. en Blgica, Croacia, Repblica Checa, Francia, Alemania, Grecia, Italia, Noruega, Polonia, Eslovenia. Mecanismos de supervisin fallidos, p.ej. la renuncia del comisionado sueco en protesta por la vigilancia encubierta.
Lo malo
Incapacidad para crear salvaguardas en procesos para tener acceso a informacin sobre nuevos servicios p.ej. en Francia, Alemania y Suiza se est buscando tener poderes para conducir bsquedas secretas en computadoras; ambiguos poderes, en Irlanda, para la intercepcin sin orden judicial de comunicaciones por Voz sobre Protocolo de Internet (VoIP, en ingls); la creacin de "accesos no documentados" en los sistemas en Italia; y las "cajas negras" instaladas en los Proveedores de Servicios de Internet (ISPs, en ingls) de Bulgaria. Francia: intent de ignorar las propuestas de enmienda constitucional para incluir un derecho constitucional a la privacidad de manera explcita. Sistemas de e-Salud con fallas en la seguridad y/o registros centralizados (Francia, Alemania, Italia, Pases Bajos). Surgimiento de nuevos registros biomtricos y bases de datos y ms en proceso de elaboracin (Estonia, Italia, Lituania, Pases Bajos). Pocas protecciones y salvaguardas para el acceso gubernamental a los datos (en la mayora de los pases). Todava se presentan vigilancias ilegales y sin orden judicial. Periodistas y grupos disidentes se hallan bajo vigilancia (Lituania, Antigua Yugoslavia Repblica de Montenegro, Polonia, Rumania, Eslovaquia, Turqua).
Lo feo
Acceso directo a la informacin en manos de terceros sin rdenes judiciales o supervisin, conducidas por organismos que no rinden cuentas a nadie (p.ej. en Bulgaria, Croacia). Incapacidad para auditar y revisar las acciones de los servicios secretos (p.ej. en Lituania, Croacia, Estonia, Hungra, Suecia). Estn surgiendo bases de datos con registros centralizados de informacin mdica (p.ej. en Croacia, Repblica Checa, Dinamarca, Suecia, Noruega, Reino Unido).
89
INVESTIGACIN Y ANLISIS
Condujimos investigaciones en cada uno de los pases, apoyndonos en nuestros colaboradores para la mayor parte de los informes nacionales. Revisamos cada uno de los informes nacionales y creamos un resumen de los acontecimientos ms importantes pues ellos eran pertinentes para el esquema de clasificacin. Cuando hubo vacios de informacin intentamos suplirlos con informacin de otras fuentes.
90
la polica puede utilizar la tecnologa GPS para rastrear sospechosos en casos de graves delitos, incluso sin una orden judicial. se han incrementado los planes para la vigilancia para viajes y la vigilancia en las carreteras y la remocin de salvaguardas que fueron implantadas originalmente cuando los sistemas se pusieron en marcha. pasaportes biomtricos que incluyen huellas dactilares, pero no estn almacenados en bases de datos centrales o locales. las cdulas de identificacin son obligatorias; aunque pueden incorporar huellas dactilares, de manera voluntaria, debido a que el plan original enfrent una considerable oposicin pblica. uso de escneres corporales en el Aeropuerto de Hamburgo, aunque stos son opcionales. la ley de diagnstico gentico prohbe el uso de exmenes genticos para empleados; los datos biomtricos slo pueden ser utilizados en el centro laboral con la aprobacin del Consejo de Direccin o la Junta de Arbitraje de los trabajadores. el lanzamiento de identificaciones para e-Salud (e-Health) fue suspendido por motivos de seguridad; ahora existen planes para un "sistema seguro de administracin de datos de pacientes". no existe una ley especfica sobre privacidad, pero es parte del derecho consuetudinario; aunque ahora existen medios automatizados para que las autoridades tengan acceso a informacin financiera. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa, pero fue parte del proceso del Tratado de Prm. el ADN obtenido de convictos por delitos graves o reincidentes en la comisin de delitos menores, y de sospechosos acusados por delitos graves, se eliminan cuando ya no son necesarios; las muestras se retienen por el mismo periodo.
rgimen de retencin de datos de 24 meses. creciente nmero de sistemas de Circuito Cerrado de Televisin (CCTV), a pesar que est presuntamente regulado. los pasaportes cuentan con huellas dactilares; y la cdula de identificacin nacional tambin cuenta con datos biomtricos. no existen protecciones especiales para vigilancia en centros laborales ratific el Convenio sobre Ciberdelincuencia.
Austria
Valoracin: es impresionante que el Gobierno no haya implantado la retencin de datos; sin embargo existen algunas preocupaciones sobre el alcance de la comparticin de datos particularmente para vigilancia fronteriza. no cuenta con una proteccin constitucional especfica, aunque existe una ley federal con varias estipulaciones constitucionales entre ellas la de proteccin de datos como derecho fundamental; la enmienda constitucional fracas, a pesar de ello, las protecciones se mantienen; adhesin al Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales en las decisiones de la Corte Constitucional, aunque la Corte desestim un caso sobre acceso policial a datos; tambin orden que el acceso a datos en poder de los proveedores de servicio de Internet para casos de derechos de autor no sea necesario. se hicieron enmiendas sustanciales para mejorar la anterior ley de proteccin de datos y contar con recursos en casos de interferencias; tambin se incluyeron leyes sectoriales y leyes que se aplican a reas especficas (comunicaciones, gentica, medicina, finanzas). el regulador puede ordenar a los controladores a responder apropiadamente a las solicitudes de informacin, incluyendo al personal del sistema judicial; se ha incrementado el nmero de casos; pueden formularse cargos criminales; alta tasa de xito en casos a pesar de la escasez de personal. el regulador todava no cuenta con independencia, a pesar de la notificacin de este problema en 2005, por parte de la Comisin Europea. la centralizacin de datos de estudiantes ha disminuido su periodo de retencin de datos de 60 aos a 20 aos, con ms limitaciones en cuanto a acceso y uso. rdenes judiciales para interceptacin de comunicaciones cuando un crimen es punible con uno o ms aos de prisin este es un umbral muy bajo; las investigaciones mltiples son posibles para casos complejos de crmenes punibles con ms de diez aos de prisin y la aprobacin de esta normativa fue rechazada. las leyes de acceso a datos fueron cambiadas para incrementar su disponibilidad, particularmente en emergencias y sin rdenes judiciales; la Corte Constitucional desestim un caso que puso en entredicho esta prctica. el gobierno ha propuesto el uso de Troyanos para tener acceso a sistemas de cmputo, pero los planes actualmente estn estancados. no se ha implantado la Directiva de Retencin de Datos, debido a que el tema es controvertido en Austria. amplio poder para la recoleccin de datos a travs de vigilancia acstica, aunque ste no sea utilizado a menudo.
92
el regulador ha fallado a favor de la privacidad mdica, p.ej. impidiendo a los investigadores tener acceso a datos mdicos de convictos adictos a drogas que estn en rehabilitacin. amplio uso del Sistema de Informacin Schengen, p.ej. para la expedicin de licencias de conducir. informes de planes para otorgar acceso a datos por parte de gobiernos extranjeros, es decir, otorgarle acceso a las autoridades de los Estados Unidos de Amrica a bases de datos de ADN, datos de huellas dactilares, etc. incremento en el uso de Circuito Cerrado de Televisin (CCTV), aunque algunas salvaguardas se han introducido, entre ellas la proporcionalidad; existe un nfasis en el borrado en tiempo real, en vez de su grabacin y posterior borrado despus de 72 horas. recoleccin de dos huellas dactilares para pasaportes biomtricos, pero los datos son almacenados slo en el chip y a los menores de 12 aos no se les toman huellas; tenencia de una tarjeta electrnica inteligente para la seguridad social; la obligacin de que cada ciudadano cuente con la tarjeta ha sido abandonada. la Corte Suprema fall a favor de la privacidad en el centro laboral: restringiendo el uso del escner biomtrico de lectura del tiempo, ello por razones de dignidad humana. los empleadores no pueden vigilar las comunicaciones privadas de sus empleados, si y slo si, estas estn etiquetadas como tales; los empleadores no deben utilizar Circuito Cerrado de Televisin (CCTV) excepto para vigilar objetos. bajos niveles de proteccin para informacin mdica en sistemas de informacin, con reglas de acceso amplias para personal autorizado. reducciones recientes de protecciones sobre comparticin de datos con otros pases en relacin a cuentas financieras; aunque los bancos estn regulados en la manera como pueden utilizar la informacin personal, incluyendo la de capacidad crediticia. actualmente se ocupan de la propuesta de "Base de Datos de Transparencia" ("Transparency Database"), que contendra el ingreso neto y beneficios sociales por persona, aunque hay salvaguardas respecto de quien tiene acceso. ADN se obtiene slo de aquellos inculpados por delitos graves y de los convictos, aunque la retencin es indefinida para convictos; la informacin de los sospechosos slo se elimina siempre y cuando se le absuelva y haya presentado una solicitud; el perfil se mantiene retenido incluso si se ha producido absolucin. el gobierno se jacta de estar entre los pases lderes a nivel mundial respecto al tratamiento del ADN, tambin de liderar el tratado de Prm para el intercambio de datos dentro de Europa.
Blgica
Valoracin: a pesar de que el aspecto legal es fuerte con una sociedad civil activa, las medidas de vigilancia tecnolgica son problemticas, p.ej. el rgimen de retencin de datos y la identificacin nica para viajar.
93
la Constitucin belga reconoce el derecho a la privacidad y a las comunicaciones privadas; las cortes han fallado en casos de privacidad, entre ellos, los referentes al acceso a datos de suscriptores, evitando su revelacin. leyes especficas se aplican a las comunicaciones electrnicas, entre otras, la regulacin de vigilancia con cmaras, la privacidad mdica, el crdito de consumo y la seguridad social. el rgimen normativo de la proteccin de datos ha sido criticado por no plegarse a los requerimientos de la Unin Europea (UE); pero en la actualidad, Blgica ha implantado completamente, en leyes, las directivas de la UE. la Autoridad de Proteccin de Datos informa al Parlamento; tiene grandes capacidades con 55 miembros en personal, pero el nmero de quejas es relativamente bajo; pblica varias guas y recomendaciones sobre procesamiento de datos. tambin cuenta con comits que supervisan reas de actividad especficas, p.ej. la de seguridad social y salud, la de registro nacional, etc. amplio rgimen normativo para la vigilancia de comunicaciones: el acceso a las comunicaciones se autoriza por la judicatura, aunque aparenta ser una autoridad judicial investigadora; puede exigir el descifrado de datos y obligar a los administradores de redes a cumplir rdenes; hay un significativo nmero de rdenes de interceptacin, las cuales estn en crecimiento. una ley en 2001 prohibi el anonimato para suscriptores de telecomunicaciones, y puede prohibir cualquier servicio que dificulte la aplicacin de la ley de interceptaciones telefnicas. retencin de datos de una hasta tres aos, con una polica que favorece la poltica de tres aos, aunque no est completamente a punto; la industria se ha opuesto a una vigilancia de gran alcance. en 2005 se estableci una nueva agencia para el "anlisis de amenazas", por medio de la evaluacin de informacin producto de vigilancia secreta en manos de otras agencias de inteligencia, la cual segn la Autoridad de Proteccin de Datos carece de salvaguardas adecuadas. amplio plan para la vigilancia de todos los vehculos y su movimiento en Blgica. uno de los primeros pases en implantar la tecnologa de Identificacin por Radio Frecuencia (RFID, en ingls) en sus pasaportes. uno de los primeros pases tambin en implantar "identificadores inteligentes" para firmas digitales, y un nmero nico de identificacin en todos los servicios gubernamentales; y ahora la Identificacin electrnica (eID, en ingls) puede ser utilizada para comprar boletos de tren a pesar de los problemas relacionados con la privacidad. incluy documentos de identificacin para nios para ser utilizados en Internet. un gran debate sigui a la introduccin de la tecnologa RFID en el sistema de transporte pblico de Bruselas. existen reglas comunes para la vigilancia en el centro laboral y guas de la Comisin. la plataforma de e-Salud (e-Health), que no es obligatoria, para el intercambio de informacin dentro del sistema de salud, est basada en el consentimiento y en protecciones incorporadas. todava se aplica el secreto bancario, aunque existe un proyecto de ley para otorgar grandes poderes a los investigadores financieros.
94
liderazgo: el gobierno ha promovido la creacin de un Observatorio de Derechos en Internet. una activa red de ONGs hace notar problemas. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. el ADN de aquellos convictos por "graves ofensas", tiene un periodo de retencin de 10 aos; la muestra es destruida una vez creado un perfil.
Bulgaria
Valoracin: acontecimientos muy preocupantes particularmente en cuanto a vigilancia secreta y supervisin. la Constitucin cuenta con normas detalladas sobre la privacidad, comunicaciones y acceso a la informacin. muchos cambios a la ley de proteccin de datos, algunos contradictorios; la ley incluye poderes para imponer multas. amplia lista de otras leyes que cubren la privacidad. el regulador es independiente y es elegido por el Parlamento, y tiene poder de decisin. el nivel de conocimiento de la existencia de la oficina es alto, habiendo recibido 45,000 solicitudes para informacin en 2009, aunque slo 158 quejas. prevalece el argumento de la seguridad nacional y a la vez disminuyen los obstculos para tener acceso a informacin en manos de organizaciones del sector privado. poca supervisin a la utilizacin de interceptacin de comunicaciones por parte de los servicios de seguridad nacional y existencia de antecedentes de abusos. un cambio de poltica est en marcha para remediar lo sealado; con una subcomisin del Parlamento encargada de la supervisin. no existen estadsticas oficiales sobre el uso de las intercepciones. no existe consulta sobre la poltica de retencin de datos, con el gobierno buscando acceso directo a las bases de datos de trfico, dando lugar a fuertes crticas; ltimamente el tema fue llevado a las cortes y la Corte dictamin que los datos slo pueden ser accedidos despus de que se haya emitido una orden judicial. dos gobiernos distintos han persistido en su intento de tener acceso directo a los almacenes de datos. significativa restriccin al uso annimo de Internet, p.ej. a las compaas de alojamiento de sitios web. las cdulas de identificacin cuentan con datos biomtricos. la recoleccin de ADN, y violaciones al uso del ADN han sido identificados por el regulador; recolectados de aquellos acusados de crmenes dolosos, se eliminan cuando no existe una razn adicional para su conservacin con base en las caractersticas del caso (anlisis caso por caso). no existe un marco claro de salvaguardas para hacer frente a la vigilancia en el centro laboral. algunas salvaguardas estn vigentes para la privacidad mdica, incluyendo leyes especiales. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
95
Croacia
Valoracin: surgi en el pas un promisorio debate respecto a la privacidad. Preocupa la vigilancia de las comunicaciones y la supervisin. la Constitucin protege tanto la privacidad como la proteccin de datos. la ley de proteccin de datos contiene la capacidad de imponer multas, aunque por montos pequeos; la pena de prisin es una opcin, aunque ese poder nunca ha sido utilizado. la Comisin Europea ha afirmado que la Ley de Proteccin de Datos todava requiere de trabajo adicional para lograr una plena adecuacin a la de la Unin Europea. existen dos regulaciones adicionales para la proteccin de datos para sistemas de registro y categoras especiales de datos personales; pero no existen protecciones sectoriales. el organismo regulador es independiente e informa al Parlamento; tiene poder de decisin y en 2008 se ocup de 626 casos. la vigilancia de las comunicaciones se autoriza por la Corte Suprema o por jueces de investigacin slo por un mximo de 7 meses y los poderes de supervisin son dbiles ante la poca vigilancia a las agencias de inteligencia. la autoridad central reclama el derecho de conducir interceptaciones a nombre de las agencias, en vez de tener que contactar a los proveedores de servicios; y es un organismo no supervisado. se retienen todos los datos de comunicaciones recolectados por los proveedores de servicios por un periodo de 12 meses. se desarrollan planes para una poltica de registros obligatorios del mdulo de identificacin del suscriptor o tarjeta SIM de los telfonos celulares. creciente uso de Circuitos Cerrados de Televisin (CCTV), incluso en algunos colegios, esto a pesar del surgimiento de oposicin pblica. se ha propuesto pero no implantado el uso de pasaportes biomtricos. se busca reducir el uso de un identificador nico. las prcticas de vigilancia en el centro laboral estn incrementndose, y han habido llamados para su revisin y la de algunas guas regulatorias. es posible el intercambio a gran escala de datos financieros y los cambios a la Ley de Bancos permiten un mayor uso de la informacin. el sistema de informacin mdica centralizada carece de garantas y no involucra el aviso o consentimiento de los ciudadanos. el Convenio sobre la Ciberdelincuencia ha sido incorporado en la ley nacional se recolecta el ADN si la identidad est en duda en una investigacin, la retencin del ADN de personas convictas es por un periodo de 20 aos.
Chipre
Valoracin: informacin limitada de modo que no se puede hacer una evaluacin completa, aunque hay algunos eventos promisorios, p.ej. la vigilancia en los centros laborales. la Constitucin protege la privacidad y las comunicaciones.
96
se encontr que la ley de proteccin de datos no es consistente con la Directiva de Proteccin de Datos sobre el derecho a la informacin, transferencia a terceros pases, y algunos mecanismos procedimentales; se desconoce si esta situacin ha mejorado o no. el regulador es designado por el Consejo de Ministros, en consulta con el Parlamento, de modo que no es enteramente independiente; la cabeza de la autoridad regulatoria debe ser necesariamente un juez de la Corte Suprema. el regulador puede investigar quejas pero tambin puede conducir investigaciones de oficio. hay un bajo nivel de quejas en el pas, pero se conducen iniciativas de concientizacin pblica. se regula la recoleccin de huellas dactilares en el centro laboral y se reserva slo para casos excepcionales. la vigilancia de las comunicaciones requiere una orden de la corte, aunque el Fiscal General puede ahora autorizarla para ahorrar tiempo; una ley de 2006 permita a la polica vigilar las bitcoras electrnicas (blogs), descargas y correos electrnicos. no existen protecciones legales enrgicas en relacin a los Circuitos Cerrados de Televisin (CCTV); el regulador interviene y solicita una justificacin previa a la instalacin. los casos de vigilancia en el centro laboral involucraron incluso el uso de micrfonos secretos. la vigilancia en el centro laboral est regulada por la Orden de Empleo de la autoridad. se ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. ADN: recolectado de todos los convictos y sospechosos; se eliminan cuando el registro queda limpio; los perfiles de los sospechosos se eliminan cuando estos son absueltos o eximidos.
Dinamarca
Valoracin: el rgimen de vigilancia de comunicaciones necesita supervisin. Es preocupante para toda la sociedad el uso de un identificador nico, como tambin lo es el crecimiento en el uso de Circuito Cerrado de Televisin (CCTV); el rgimen de ADN probablemente contravenga lo dispuesto por el Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales. proteccin constitucional a la privacidad y de manera indirecta a la proteccin de datos. los cambios a la ley de proteccin de datos permiten un creciente intercambio de datos. las agencias de inteligencia estn exceptuadas de las leyes de privacidad. las leyes sectoriales disponen protecciones para la informacin mdica, financiera y el mercadeo. el regulador es y reclama ser un organismo pblico independiente, pero personal clave es nombrado por el Ministro de Justicia. se ha recibido un alto nmero de quejas; el regulador se ha involucrado en casos de alto perfil (p.ej. del sistema de inmigracin, Facebook).
97
la ley de vigilancia de las comunicaciones permite a la polica tener acceso a una lista de todos los telfonos celulares activos cerca de la escena de un crimen; el gobierno tambin ha considerado la idea de permitir la intercepcin a gran escala de comunicaciones en un rea. altos niveles de solicitudes de interceptacin y de aprobaciones de las cortes. se ha implantado a travs de una orden administrativa la retencin de datos por 12 meses a pesar de una fuerte oposicin, aunque desde entonces se han hecho algunos cambios para excluir a los pequeos proveedores de servicios de Internet. los pasaportes biomtricos incluyen reconocimiento facial pero todava no huellas dactilares. no existe una cdula de identificacin pero un nico nmero todava se utiliza para identificarse en los registros pblicos. han surgido casos de vigilancia en el centro laboral y han dado como resultado la imposicin de pequeas multas. las normas sobre Circuito Cerrado de Televisin (CCTV) son laxas y por tanto, ste se ha vuelto ms extendido. portal de e-Salud (e-Health) con un registro central, pero dispone el acceso de los ciudadanos a sus propios registros mdicos y utiliza acceso autenticado; lder mundial en mantenimiento de registros centralizados. ADN: recolectado de convictos y sospechosos acusados de delitos que pueden conducir a ms de 1.5 aos de prisin; se retienen tanto para convictos como sospechosos hasta dos aos despus de su muerte; y las muestras son retenidas.
Eslovaquia
Valoracin: algunas protecciones bsicas pero preocupantes implantaciones de polticas de identificacin, adems de protecciones poco claras en algunas reas. proteccin constitucional para la privacidad, el secreto de las comunicaciones y la proteccin de datos. ley integral de proteccin de datos as como algunas leyes especficas, aunque algunas veces ambiguas, p.ej. la vigilancia en el centro laboral. el regulador es independiente y est conduciendo actividades de concientizacin con relativo xito; ha tomado algunas decisiones que han sido controversiales para el gobierno, particularmente con relacin a la poltica de identificacin. se requiere de rdenes judiciales para la interceptacin de comunicaciones en casos de delitos graves; un caso en la Corte Constitucional ha provocado que se requiera al Gobierno la motivacin o sustanciacin de las rdenes de interceptacin. antecedentes de abusos contra polticos y grupos especficos; los hogares de los rumanos estn siendo penetrados sin contar con rdenes. seis meses de retencin para datos de comunicaciones por Internet; y 12 meses para datos de otras formas de comunicacin. el uso de sistemas de Circuito Cerrado de Televisin (CCTV) se ha determinado que est en contravencin con los requerimientos regulatorios. los pasaportes biomtricos incluyen huellas dactilares.
98
cdula de identificacin obligatoria con informacin adicional ms all de las caractersticas del perfil bsico; y se planea una cdula de identificacin electrnica. procedimientos detallados para vigilancia en el centro laboral. suscribi un acuerdo con los Estados Unidos de Amrica para transferir datos de pasajeros. ADN: obtenido de cualquiera que sea penalizado con ms de una multa, y de todos los sospechosos; los perfiles de los convictos se retiene por 10 aos, los datos de los sospechosos se eliminan una vez absueltos; las muestras se destruyen tan pronto sea posible.
Eslovenia
Valoracin: prcticas problemticas de vigilancia, aunque la oficina del Comisionado juega un papel importante en la proteccin de la privacidad. existe proteccin constitucional para la privacidad, las comunicaciones y la proteccin de datos. los cambios en la ley de proteccin de datos incorporan la cobertura de video vigilancia y datos biomtricos. tambin cuentan con leyes sobre privacidad mdica y estadsticas nacionales. el regulador recibe cada vez ms quejas; y est bien considerado en su labor el reforzar la proteccin de datos en Eslovenia. la interceptacin requiere de orden judicial; los servicios secretos tienen mayor flexibilidad y esta posicin fue respaldada por la Corte Constitucional. el trfico de las comunicaciones fue originalmente retenido por 24 meses, pero recientemente fue enmendado y recortado a 14 meses para el trfico telefnico y ocho meses para el trfico de Internet. aunque el Comisionado ha elaborado guas para la vigilancia en el centro laboral, ste no ha sido revisado an por el Parlamento. la privacidad mdica se norma en la Ley de Derechos de los Pacientes; y los abusos han provocado la expedicin de multas por parte del Comisionado. se han notado abusos en relacin a la privacidad financiera cuando la Administracin Tributaria accedi innecesariamente a registros de contribuyentes. ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Espaa
Valoracin: admirable regulador, pero las cortes no han sido demasiado tiles en asuntos de privacidad. Falta de un adecuado debate sobre vigilancia tecnolgica. proteccin constitucional para la privacidad y la proteccin de datos. las protecciones integrales son actualizadas de manera regular para incrementar las protecciones. el regulador es renombrado a nivel mundial; decisiones y guas enrgicas, as como la capacidad para expedir multas.
99
las leyes de vigilancia de comunicaciones han sido criticadas por ser vagas, entre ellas las de recuperacin de contraseas, y la de interceptaciones sin autorizacin. periodo de retencin de 12 meses para datos de comunicaciones y prohibicin del anonimato en telfonos celulares prepagados. el uso de sistemas de Circuito Cerrado de Televisin (CCTV) est regulado y algunas veces se requieren mtodos de informacin. el debate sobre las cdulas de identificacin ha sufrido por la promocin unilateral de la cdula en vez de un anlisis crtico de sus capacidades. el ADN se elimina luego de la absolucin. los sistemas de registro de e-Salud (e-Health) estn emergiendo. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Estonia
Valoracin: existe un marco legal, pero las polticas y las tecnologas estn entre las peores de Europa. la Constitucin se aplica a la privacidad, las comunicaciones y la proteccin de datos; las cortes superiores se han ocupado de casos de privacidad aunque los resultados son mixtos, recientemente la jurisprudencia muestra inters en ampliar la privacidad. el marco de proteccin de datos trata los datos biomtricos y genticos como "sensibles". el regulador tiene poderes para imponer multas, pero estas son muy pequeas; el regulador lleg a ser independiente en 2007, aunque opera como dependiente del Ministerio de Justicia; es relativamente una dependencia pequea, aunque su actividad se est incrementando. la vigilancia se autoriza por medio de los jefes de las agencias. sin embargo, la vigilancia de las comunicaciones requiere la autorizacin de un juez de investigacin. ley de retencin de datos por un periodo de 12 meses. los poderes de uso de bases de datos y de anlisis de datos por parte de las fuerzas del orden y seguridad nacional son problemticos. creciente uso de Circuito Cerrado de Televisin (CCTV), aunque existe una falta de datos oficiales al respecto; el proyecto de ley sobre CCTV est en el Parlamento. las cdulas de identificacin obligatorias incluyen registros biomtricos del iris, huellas dactilares y el rostro; la cdula es multipropsito y contiene informacin e identificadores adicionales. pocas leyes sectoriales, aunque hay una de informacin crediticia. existe una ley de vigilancia en el centro laboral pero no existe regulacin o jurisprudencia todava. sistema obligatorio de registro e-Salud (e-Health) sin la opcin de resistirse al procesamiento de informacin. estableci un acuerdo con los Estados Unidos de Amrica para transferir datos de pasajeros. ratific el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
100
ADN: recolectado de arrestados o convictos por cualquier "delito registrable"; se mantiene por hasta 10 aos despus de la muerte tanto para sospechosos como para convictos y las muestras se retienen indefinidamente.
Finlandia
Valoracin: el regulador est trabajando arduamente en labores de sensibilizacin. Los planes de vigilancia parecen ser permanentes en las deliberaciones policiales que han ocurrido en otro lugar. derecho constitucional a la privacidad y las comunicaciones; varios casos han sido juzgados. la ley integral de proteccin de datos considera sanciones civiles y penales (prisin por hasta un ao). las quejas al regulador se han incrementado notablemente, indicando una fuerte conciencia sobre los derechos. rdenes judiciales para interceptacin de comunicaciones. retencin de datos de trfico por un periodo de 12 meses. acceso a datos sobre ingresos es generalizado, p.ej. incluso para el clculo de multas de trfico. la vigilancia generalizada es permitida en el centro laboral; tambin permitida para investigar casos de robo de propiedad intelectual. la cdula de identificacin multipropsito cuenta con informacin de varias fuentes incluso de seguros mdicos. ADN: tomado de convictos que cumplen penas de tres aos o ms, sospechosos acusados de delitos penalizados con seis o ms meses de prisin; los perfiles se mantienen por diez aos despus de su muerte, los perfiles de los sospechosos se eliminan dentro del ao siguiente a su exculpacin; las muestras se retienen por los mismos periodos. ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
Francia
Valoracin: de manera preocupante est cerca de ser coronado como el Estado lder en Europa en cuanto a vigilancia. Nuevas bases de datos y prcticas de vigilancia estn surgiendo de manera continua; a pesar del arduo trabajo del regulador y la sociedad civil, tiene algunas de las ms dbiles salvaguardas en Europa. no est explcitamente sealada en la Constitucin pero ha sido reglamentada para estar implcitamente; aunque ha habido recomendaciones para incluirla por medio de una reforma constitucional, stas han sido ignoradas por el Presidente. ley integral y leyes sectoriales para archivos, video vigilancia, empleo y proteccin al consumidor. la Comisin Nacional de Informtica y Libertades (CNIL) realiza muchas labores alrededor del mundo; tiene poderes para imponer multas que no utiliza ampliamente y tiene poderes limitados sobre ciertas reas de la actividad gubernamental. el nivel de actividad legal es muy alto.
101
los nuevos poderes de vigilancia han sido desplegados con implicancias preocupantes, p.ej. la Ley de Orientacin y Programacin para la Seguridad Interior (LOPSSI2) para acceder de manera remota, grabar, recolectar y transferir informacin en manos de los sistemas de Tecnologas de la Informacin. la polica puede acceder a registros sin orden judicial en casos de terrorismo. hay una ley sobre el uso del registro de nombres de los pasajeros ley de retencin por 12 meses y puede ser utilizada para casos sobre propiedad intelectual; requiere la retencin de informacin identificable de abonados. las agencias de inteligencia y de la polica han establecido una plataforma para otorgarse a s mismos un fcil acceso a datos de trfico. alto nivel de accin regulatoria y de parte de la sociedad civil, pero lamentablemente slo se han logrado pequeos cambios en la poltica gubernamental. muchas nuevas bases de datos y sistemas han sido establecidos para vigilar a varios grupos; algunos con muy altas tasas de error. amplio uso de Circuito Cerrado de Televisin (CCTV). datos biomtricos recolectados para labores de control de fronteras y para pasaportes, aunque no existe ninguna seal de huellas dactilares en los pasaportes. la propuesta de expandir el proyecto de cdulas de identificacin est todava en suspenso debido a las protestas y crticas. las normas sobre privacidad en el centro laboral han permitido la lectura de correos electrnicos por parte de los empleadores, pero el abuso de actividades en Internet no es suficiente para la finalizacin del contrato. sistema nacional de registros e-Salud, pero con serias carencias en cuanto a proteccin de datos y muchas brechas de seguridad; el sistema est bajo revisin pero prevalecen otros problemas. la vigilancia financiera ha violado dos veces el Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales segn la Corte Europea de Derechos Humanos. ADN: tomado de convictos o de aquellos acusados de "graves delitos"; los datos de los convictos se retienen por 25 aos, los de los sospechosos se eliminan por peticin de la fiscala; las muestras se retienen por iguales periodos.
Grecia
Valoracin: una rica y controversial historia de la privacidad, con abusos a todo nivel y agitacin poltica. Aunque ocurrieron eventos prometedores a mediados de la dcada del 2000, desde ese entonces el Gobierno ha fracasado repetidamente en la implementacin de las necesarias salvaguardas y por ello la vigilancia continua. existen protecciones constitucionales para la privacidad y las comunicaciones y por medio de una enmienda, el derecho constitucional a la proteccin de datos con una autoridad independiente. la detallada ley de proteccin de datos ha sido enmendada para actualizar las definiciones de datos personales y ocuparse de los flujos de datos
102
transfronterizos, pero tambin para excluir a los Circuitos Cerrados de Televisin (CCTV) de la ley. el regulador es independiente, conducido por un juez y puede emitir sanciones administrativas y penales, entre ellas multas pecuniarias medianas; histricamente ha jugado un papel importante en los debates polticos y ha emitido una serie de juicios. en 2007 hubo una renuncia colectiva de parte del regulador en protesta por los acontecimientos vinculados a los Circuitos Cerrados de Televisin (CCTV). los organismos de supervisin existen para la vigilancia de las comunicaciones; se ha multado a Vodafone y a Ericsson por abusos en interceptacin de comunicaciones pero ello fue revocado por la Corte Constitucional. como consecuencia de los abusos, una nueva ley se introdujo en 2008 para proteger la privacidad de las telecomunicaciones, exigiendo una poltica de seguridad a todo proveedor de servicio y exigiendo auditorias y nuevas penalidades por los abusos. el Gobierno prometi un nuevo Plan de Seguridad para proteger las comunicaciones pero no se realiz ninguna accin por parte del Gobierno. aunque no existe una ley de retencin, hay una amplia retencin de datos de comunicaciones que vara entre dos a cinco aos. el rediseo del sistema de Circuito Cerrado de Televisin (CCTV) instalado para las Olimpiadas ha sido controversial; pero ahora ste se est expandiendo incluso ms, abarcando colegios y fue excluido de la ley. se introdujo una ley que exige el registro de los mdulos de identificacin del suscriptor o tarjetas SIM. sistema de identificacin administrado por la polica incluye la recoleccin de informacin detallada, aunque ya no recolecta informacin sobre creencias religiosas. el uso de datos biomtricos en el centro laboral ha sido regulado para operaciones altamente sensibles. el regulador impidi el uso de datos biomtricos en el aeropuerto de Atenas. la privacidad financiera est siendo erosionada, tanto por la tributacin como por los informes de crdito.
Hungra
Valoracin: acontecimientos preocupantes en el proceso poltico hngaro han tenido serias implicaciones para el panorama de la privacidad. La dbil supervisin necesita atencin. proteccin constitucional de la privacidad y de los datos personales. una ley integral de proteccin de datos fue previamente estimada como "adecuada" para el flujo transfronterizo de datos antes de unirse a la Unin Europea. existen varias leyes sectoriales especficas relativas a direcciones de domicilios, cdigos de identificacin, informacin mdica, informacin policial, etc. e incluso bancos biolgicos, aunque la regulacin es dbil.
103
el regulador puede investigar las quejas y tiene poderes de decisin; aunque independiente, el regulador a menudo recibe presiones polticas y hay posibilidades de un debilitamiento de sus poderes. el nmero de quejas y de casos continua aumentando; igualmente el nmero de casos destacados. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso del sistema de Circuito Cerrado de Televisin (CCTV), con periodos de retencin ampliados. la vigilancia de las comunicaciones requiere de una orden judicial y est limitada para delitos punibles con cinco o ms aos. han surgido informes sobre el uso de "cajas negras" en las redes de los proveedores de servicios para interceptar comunicaciones sin una autorizacin. el Tribunal Constitucional ha notado que existen serios problemas de supervisin. la retencin de datos de comunicaciones se ha adoptado por ley en 2008, con un caso pendiente que solicita su anulacin. se uni al Tratado de Prm para permitir el intercambio de datos dentro de los pases de la Unin Europea. los casos de vigilancia en el centro laboral incluyen al de Vodafone que vigilaba el movimiento de sus empleados sin notificarles; falta regulacin en este campo. los pasaportes contienen huellas dactilares. falta de regulaciones y promocin de intercambio de datos de salud y financieros. sociedad civil activa. ratific el Convenio del Consejo de Europa. ADN: obtenido de aquellos convictos de delitos especficos o sospechosos en investigaciones con penas de cinco o ms aos; los datos de los convictos se mantienen por 20 aos, los de los sospechosos se retienen hasta que el proceso sea archivado o el sospechoso absuelto; las muestras se destruyen de manera similar.
Irlanda
Valoracin: dbil cumplimiento regulatorio y un proceso de supervisin problemtico particularmente para la vigilancia de comunicaciones. no hay un derecho expreso a la privacidad en la Constitucin, la jurisprudencia ha indicado que est implcita en las normas de "derechos personales". el rgimen integral de proteccin de datos ha sido enmendado para actualizar sus protecciones. el regulador es independiente; puede diligenciar las notificaciones de cumplimiento; ha sido criticado por sus dbiles decisiones sobre Google. la interceptacin de comunicaciones se autoriza por rdenes ministeriales y se supervisan por un Juez de la Suprema Corte; la ley fue elaborada con una jurisdiccin limitada, que posiblemente permita interceptaciones de Voz sobre Protocolo de Internet (VoIP) sin rdenes judiciales.
104
la poltica de retencin est entre las peores, anteriormente con una amplia retencin de manera no regulada, luego con un esquema de retencin de tres aos, ahora con un esquema de dos aos para datos telefnicos y de un ao para los de Internet. no se necesita una aprobacin externa para acceder a datos de trfico.
Italia
Valoracin: un ambiente legislativo catico ha conducido a protecciones errticas. La falta de supervisin en la seguridad nacional y en el cumplimiento de la ley; pero el regulador de la privacidad y la activa sociedad civil han jugado papeles importantes en la proteccin de la privacidad. no existe una proteccin especfica de la privacidad en la Constitucin, aunque existen protecciones para las comunicaciones y para el hogar. despus de dos dcadas de debate, una ley integral de proteccin de datos fue promulgada en 1996; actualizada en 2003 para incorporar las nuevas directivas de la Unin Europea. existen leyes adicionales relacionadas a la video vigilancia, la vigilancia en centros laborales, informacin estadstica y archivos electrnicos. el regulador ha conducido investigaciones en diversos sectores y ha participado en casos emblemticos e influyentes. se paralizaron los sistemas de registro biomtricos. hay un amplio marco normativo para la vigilancia de las comunicaciones y existen planes legislativos para regular, ms adelante, las interceptaciones ilegales; todava se dan interceptaciones preventivas a discrecin de la Fiscala General. han habido casos de "puertas traseras" (backdoors) construidas en servicios dando como resultado una sobrevigilancia, incluido un caso donde las comunicaciones de 30,000 abonados fueron violadas. las tasas de interceptacin son muy altas y se desconoce cuntas interceptaciones ilegales se producen. suscribi el Tratado de Prm y consecuentemente estableci una base de datos de ADN; el periodo de retencin es de 40 aos para los perfiles y de 20 aos para las muestras biolgicas. la video vigilancia est en aumento, aunque el regulador es muy activo en esta materia. los pasaportes biomtricos tenan que incluir huellas dactilares, pero no seran almacenadas en una base de datos central; y al respecto, no se ha tomado ninguna accin. se intent implantar un sistema de identificacin con un almacn centralizado de registro; pero este fue desmantelado en 2009; la existencia de un nuevo sistema con un registro centralizado de huellas dactilares ha sido postergada. las normas de vigilancia en centros laborales prohben espiar los hbitos de navegacin en Internet de los empleados. las iniciativas de e-Salud (e-Health) involucran registros centralizados, aunque nuevamente participa el regulador.
105
la privacidad financiera ha sido obstaculizada por la diseminacin en Internet de todas las devoluciones de impuestos. hay sociedad civil activa. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Letonia
Valoracin: hay algunas limitaciones problemticas y conflictos de supervisin, particularmente en la vigilancia de las comunicaciones y el ADN. Las modificaciones a la ley de proteccin de datos para incrementar las excepciones tambin es problemtica. la proteccin constitucional cubre la privacidad y las comunicaciones. ley integral, aunque ahora contiene enmiendas que han incluido limitaciones a los derechos de las personas en asuntos de estados financieros y seguros, que nuevamente permiten el procesamiento de informacin mdica. existen leyes para comunicaciones electrnicas y para bases de datos de ADN. el regulador est bajo la jurisdiccin del Ministerio de Justicia; a pesar de los intentos para mejorar su independencia, los planes han sido postergados repetidamente. la oficina del regulador sufri recortes de personal en 2009. la vigilancia de las comunicaciones est regulada para investigaciones especficas. la autoridad supervisora autoriza las vigilancias, aunque sta puede darse por un fiscal (en casos de emergencia) o por un juez. el rastreo slo es permitido con autorizacin judicial. se han incrementado los casos de interceptaciones ilegales. las fuerzas del orden pueden ahora tener acceso a informacin en manos de agencias de crdito con el fin de combatir el terrorismo. periodo de retencin de 18 meses. el regulador supervisa los sistemas de Circuito Cerrado de Televisin (CCTV). los pasaportes biomtricos incluyen huellas dactilares. cdulas de identificacin obligatorias para todos los residentes. los empleadores pueden vigilar las comunicaciones de sus empelados. rgimen legal especfico para la privacidad mdica, incluso despus de la muerte; aunque se permite para la investigacin mdica, si sta no requiere la identificacin. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. ADN: tomado de aquellos convictos o sospechosos de cualquier "delito registrable"; retenido por 75 aos; se retienen tambin las muestras.
Lituania
Valoracin: este pas todava est aprendiendo los fundamentos de la privacidad, pero han ocurrido algunos eventos prometedores particularmente en la medida que la Corte
106
Suprema genera jurisprudencia. Las leyes de vigilancia estn abiertas para el abuso de las autoridades gubernamentales y se requieren procedimientos ms estrictos. la Constitucin protege la privacidad y las comunicaciones; y la Corte Suprema ha reafirmado el derecho a una vida privada como uno de los derechos fundamentales ms importantes. se han producido actualizaciones importantes a la ley de proteccin de datos con el fin de ser parte de la Unin Europea, completadas en el periodo 2003/2004. los cambios ms recientes incluyen la adicin de la video vigilancia en la ley, el uso restringido de nmeros de identificacin personal y protecciones ms estrictas a la informacin mdica y la independencia del regulador fue reforzada. el bajo nmero de quejas refleja la falta de sensibilizacin sobre el tema en el pas; aunque las cifras estn creciendo. se requiere de autorizacin judicial para la interceptacin, aunque no existe un estricto escrutinio; la ley ha sido criticada por no ser clara y por la falta de procedimientos claros para prevenir el abuso del Departamento de Seguridad Estatal. existen quejas recientes de interceptaciones a periodistas. la ley de retenciones se implant en 2009, por periodos de seis meses, a menos que los datos sean necesarios para operaciones en marcha, punto en el cual ste es retenido por seis meses adicionales; aunque la decisin de la Corte Constitucional de 2002 requiere que ello se restrinja a datos recolectados para las operaciones comerciales normales. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso de sistemas de Circuito Cerrado de Televisin (CCTV) aunque el regulador est trabajando en el tema; no obstante hay algunos casos de vigilancia secreta; ha habido un amplio debate sobre el tema. los pasaportes biomtricos incluyen huellas dactilares, a la vez que el almacenamiento de los datos biomtricos se realiza en un registro central. creciente uso de tcnicas de vigilancia en el centro laboral; sobre ello hay un limitado debate y las cortes tienden a favorecer a los empleadores. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. ADN: obtenido de los convictos y sospechosos; todos los perfiles son retenidos por 100 aos; las muestras deben ser destruidas una vez creado el perfil.
Luxemburgo
Valoracin: limitados recursos para el regulador pero marcos legales en vigencia. La privacidad financiera es fuerte. Algunas salvaguardas para la sociedad aunque no se cuenta con informacin suficiente sobre las acciones de las agencias de seguridad. la Constitucin garantiza el derecho a la privacidad y al secreto de la correspondencia. ley integral de proteccin de datos. el regulador cuenta con una dependencia pequea; pero puede hacer investigaciones de oficio; expedir penalidades monetarias, tiene poderes de decisin y se ha ocupado de algunos casos.
107
se requieren rdenes judiciales para la interceptacin de comunicaciones, con algunos requisitos de notificacin. el periodo de retencin de trfico de comunicaciones es de 12 meses, pero requiere una clara definicin de los tipos de investigaciones en los cuales la polica puede acceder a la informacin. existen regulaciones para el sistema de Circuito Cerrado de Televisin (CCTV). la vigilancia en los centros laborales est regida por ley. existe un nico nmero de identificacin para cada residente y este es ampliamente utilizado; huellas dactilares en los pasaportes, aunque retiradas del registro central despus de un mes. slidas leyes sobre privacidad financiera. parte del Tratado de Prm. ADN: obtenido de los convictos por delitos especficos y de los sospechosos de cualquier delito registrable; los datos de los convictos son retenidos por el tiempo que dure su vida, ms 10 aos; los datos de los sospechosos son borrados una vez que son absueltos; las muestras se retienen por periodos similares.
Malta
Valoracin: estn surgiendo expertos y casos sobre privacidad. El rgimen de vigilancia de comunicaciones es problemtico, as como el de su supervisin. la Constitucin garantiza la proteccin de la privacidad, con algunos casos emergentes. ley integral en concordancia con la Directiva de Proteccin de Datos. el regulador es independiente y trabaja de manera cercana con otros reguladores en Malta y a nivel internacional. pequeo nmero de quejas recibidas, pero se realizan campaas de sensibilizacin pblica. las preocupaciones sobre los sistemas de Circuito Cerrado de Televisin (CCTV) se hallan en el tope de la lista de quejas. las rdenes para la interceptacin de las comunicaciones son emitidas por el Ministro responsable para los servicios de seguridad. la retencin es por 12 meses para datos telefnicos, seis meses para datos de Internet y existen algunas limitaciones para el acceso. los datos biomtricos de los pasaportes estn almacenados en el mismo pasaporte, pero no existen planes para incluirlos en los documentos de identidad. el Gobierno est considerando escneres de cuerpo completo, pero todava no hay una decisin al respecto. no existen guas sobre vigilancia en el centro laboral; aunque existen quejas ante el regulador, ninguna de ellas es formal debido a que los empleados estn preocupados por su puesto de trabajo. existen guas vigentes para la privacidad financiera.
Noruega
108
Valoracin: la creciente supervisin sobre las agencias de seguridad parece promisoria. Los problemas con la privacidad financiera continan a pesar del abuso generalizado. La regulacin juega un papel importante y se han dado signos positivos de resistencia a las medidas de vigilancia, p.ej. escaneo corporal, retencin. la Constitucin no tiene un artculo especfico sobre privacidad, aunque tiene un artculo sobre registros; la Corte Suprema orden en 1952 la incorporacin de una proteccin legal a la "personalidad" la cual incorpora la privacidad. la ley integral a menudo es considerada enrgica, las penalizaciones son multas o prisin; y permite realizas inspecciones en todas las bases de datos incluidas a las de los sistemas policiales. el regulador es dependiente del Ministerio de Administracin Gubernamental pero se le considera independiente. el regulador ha ejecutado el rol de lder mundial en campaas de sensibilizacin. la interceptacin de comunicaciones se autoriza por orden judicial en casos que involucren narcticos y seguridad nacional y algunos delitos menos graves. un nuevo organismo de supervisin ha sido introducido para la vigilancia de interceptaciones. existe una historia de interceptaciones ilegales y de vigilancia poltica, por tanto se estableci un comit para vigilar los servicios de seguridad el cual informar anualmente al Parlamento. existen leyes vigentes para hacer ms fcil a la polica el interceptar conversaciones de criminales; despus de una evaluacin, una comisin del gobierno encontr que los poderes estaban siendo utilizados en las circunstancias pertinentes pero mostr su preocupacin en torno a una sobre recoleccin de datos pero con una carencia de estadsticas. no existe una ley de retencin de datos. suscribi el Tratado de Prm. emite pasaportes biomtricos con huellas dactilares desde 2010; no cuenta con una base de datos central, pero hay un amplio debate en relacin a la seguridad del chip. cdulas de identificacin no obligatorias. reaccin negativa a las propuestas de escaneados corporales condujo a la cancelacin de este plan. la toma de huellas dactilares en el sector privado se ha disuadido particularmente porque otros medios de identificacin son suficientes. se aplican leyes especficas para la vigilancia en el centro laboral, donde se requiere de una negociacin con los representantes del sindicato adems de evaluaciones regulares. la privacidad mdica ha sido cuestionada por su implementacin al interior del Gobierno, lo cual condujo a un alto nmero de usuarios que podan acceder a registros personales; las objeciones de parte del regulador fueron ignoradas hasta la apelacin. la privacidad financiera se degrad en el 2009, al otorgarle a ms agencias el acceso a una lista de transferencias financieras dentro y fuera de Noruega. la disponibilidad pblica de informacin sobre devolucin de impuestos es una antigua tradicin, aunque en aos recientes sta se ha vuelto ms controversial, lo que condujo a los partidos de la oposicin a proponer la prohibicin del
109
proceso, particularmente porque existen aplicaciones en Facebook y en el iPhone para buscar en estas listas. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. ADN: se obtiene de todos los convictos con pena de prisin.
Pases Bajos
Valoracin: una fuerte tradicin de libertades civiles y privacidad est siendo reemplazada con ambiciosos programas tecnolgicos y una dbil supervisin. Un fuerte regulador, la sociedad civil y a veces la industria, trabajan arduamente para atraer la atencin a un gran nmero de propuestas y polticas. existen garantas constitucionales para la privacidad y la proteccin de datos; se han presentado propuestas para ampliar los derechos de proteccin de datos y una nueva Comisin ha sido designada para revisarlas. proteccin de datos integral, pero existen planes para enmendarla, particularmente para transferencias a terceros pases y mercadeo directo. leyes adicionales regulan el uso de informacin personal por parte de la polica, en exmenes y tratamientos mdicos y seguridad social. el regulador es independiente, aunque con poderes limitados para imponer multas; y se le han otorgado nuevos poderes en aos recientes, las ltimas promesas de parte del Gobierno an no se les ha dado seguimiento. el regulador es importante en el desarrollo de polticas en el pas y es un lder internacional. la diseminacin de la vigilancia de carreteras est en crecimiento. los serios problemas con la jurisprudencia en casos de transgresiones a los derechos de autor han reducido la privacidad de los abonados a los proveedores de servicios de Internet. las agencias de inteligencia no requieren rdenes judiciales para la vigilancia de comunicaciones. existen muchas propuestas para otorgar mayores poderes de vigilancia a las fuerzas del orden. la polica tambin vigila las actividades de las redes sociales a travs de un piloto. el Parlamento rechaz salvaguardas adicionales para retencin de datos; el periodo de retencin fue fijado en 18 meses, pero reducido luego a 12 meses. la Ley de Video Vigilancia permite que las imgenes sean retenidas por cuatro semanas. notable victoria para la proteccin de la privacidad por parte de la sociedad civil la cual hizo retroceder una poltica de medidores inteligentes. pasaportes biomtricos en los cuales se puedan incluir datos biomtricos y el gobierno desea almacenar los datos en una base de datos central. la vigilancia sobre viajes se est ampliando significativamente, con una retencin de datos por un periodo de siete aos. planes para archivos electrnicos de pacientes estn siendo puestos en prctica con el surgimiento significativo de preocupaciones. el uso de identificadores para transacciones financieras ha atrado la atencin del regulador.
110
ha ratificado el Convenio sobre Ciberdelincuencia. ADN: obtenido de cualquiera convicto o sospechoso de un delito registrable; los perfiles se mantienen hasta que el convicto tenga 100 aos, los datos de los sospechosos son eliminados una vez absuelto; las muestras se retienen de manera similar.
Polonia
Valoracin: las cortes y el regulador son enrgicos protectores de la privacidad pero el Gobierno est presionando fuertemente a favor de amplios proyectos de vigilancia y una supervisin limitada. existe proteccin constitucional a la privacidad, la privacidad de las comunicaciones y la proteccin de datos, y tambin hay una floreciente jurisprudencia en este tema. las penalidades de la ley integral se consideran en gran medida inefectivas. las personas cuentan ahora con el derecho para retirar su consentimiento en cualquier momento. las leyes sectoriales se aplican a la informacin mdica, las telecomunicaciones, el cdigo laboral y a los seguros. el regulador es designado por el Parlamento. los registros generalmente requieren de rdenes judiciales expedidas por una corte o por el fiscal; aunque la mayora de los registros se realizan por razones de "urgencia" sin una autorizacin. la interceptacin de comunicaciones es conducida con una supervisin limitada, y en gran nmero (aunque las cifras oficiales no se publican). varias iniciativas han sido propuestas para ampliar las capacidades de vigilancia; las autoridades policiales y anticorrupcin estn obteniendo cada vez ms poder para acceder a los datos. el periodo de retencin para datos de comunicaciones es de 24 meses; originalmente se pidi un periodo de retencin de 15 aos, pero dicha propuesta fue rechazada por una comisin parlamentaria. el acceso a datos est restringido a la polica, las agencias de seguridad nacional, y las autoridades judiciales; aunque no existe un umbral legal para obtener el acceso. hubo un escndalo reciente en el cual 10 periodistas se hallaban bajo vigilancia por parte de los servicios secretos para identificar a sus informantes. no ratific el Convenio del Consejo de Europa. debate creciente sobre el uso de sistemas de Circuito Cerrado de Televisin (CCTV), pero no existe ninguna regulacin sobre su uso. el sistema de identificacin sigue siendo el que cuenta con la mayor coleccin de datos personales; datos biomtricos se incluirn este ao. anteriormente no exista una regulacin sobre vigilancia en el centro laboral, aunque las cortes haban intervenido. los registros mdicos estn protegidos por ley y en particular los registros de enfermedades mentales. las autoridades tributarias tienen amplio acceso a informacin financiera.
111
Portugal
Valoracin: informacin insuficiente sobre vigilancia e inteligencia considerando la historia de abusos, pero las enrgicas medidas constitucionales y legales son promisorias y las salvaguardas estn emergiendo en los planes de vigilancia. existe proteccin constitucional a la privacidad, el secreto y la proteccin de datos. la ley integral se aplica ampliamente. el regulador es una agencia independiente que informa al Parlamento; nmero pequeo de quejas, aunque estn incrementndose al igual que las multas. el regulador conduce programas de sensibilizacin. antecedentes de espionaje poltico ilegal; muy poca informacin para evaluar la vigilancia de las comunicaciones. poltica de retencin de datos por un periodo de 12 meses. los sistemas de Circuito Cerrado de Televisin (CCTV) requieren de un regulador; actualmente se estableci una ley, que est expandiendo su uso. la cdula de identificacin nacional tiene un diseo especfico y utiliza polticas para proteger la privacidad; la tarjeta puede contar con huellas dactilares pero slo puede ser accedido con consentimiento o a solicitud de la polica y de funcionarios judiciales. la vigilancia en el centro laboral est permitida; la vigilancia a nivel nacional del ausentismo laboral, durante las huelgas nacionales, ha causado cierta controversia; el uso de datos biomtricos en el centro laboral est regulado por ley. se han implantado salvaguardas en los planes nacionales de salud. no ha ratificado el Convenio sobre Ciberdelincuencia.
Repblica Checa
Valoracin: eventos positivos debido al trabajo arduo de la sociedad civil y del regulador nacional; aunque todava existen regmenes legales problemticos a pesar del trabajo, p.ej. vigilancia de comunicaciones, Circuito Cerrado de Televisin (CCTV), cdulas de identificacin (ID). la Carta de derechos y libertades bsicas estipula el derecho a la privacidad y la dignidad humana, la proteccin de las comunicaciones y asimismo una clusula de proteccin de datos. la ley de proteccin de datos est armonizada completamente y contiene protecciones adicionales debido a las enmiendas, entre ellas las de registro de comunicaciones. el regulador puede imponer multas por hasta 820,000 y conducir auditoras. el nmero de quejas est creciendo, el nmero de casos desestimados es muy alto. el regulador tiene autoridad supervisora sobre el uso de las fechas de nacimiento, a pesar de su continuo abuso. el regulador ha conducido un gran nmero de ejercicios de sensibilizacin.
112
la interceptacin de comunicaciones es autorizada por un juez de una corte superior, incluso si se realiza por las agencias de inteligencia (aunque todava existen preocupaciones sobre abusos) y existe un requerimiento de notificacin una vez que sea cerrado el caso. debido a las quejas sobre una poca supervisin de la vigilancia de comunicaciones, nuevas protecciones se introdujeron en 2009. todava hay intentos de ampliar los poderes de las agencias de inteligencia. la poltica de retencin de datos por 12 meses fue cambiada para introducir la retencin gradual para distintas formas de datos; y el alcance de su uso es expansivo, no existe supervisin. lider la iniciativa para firmar acuerdos con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso de Circuitos Cerrados de Televisin (CCTV), el regulador tiene poderes insuficientes para regular esta actividad, con una fuerte oposicin del pblico contra estos sistemas. los pasaportes biomtricos incluyen el rostro y datos de las huellas dactilares. las cdulas de identificacin se estn utilizando de manera creciente en el da a da. tarjetas "annimas" con tecnologa de identificacin por radio frecuencia (RFID) ahora estn disponibles para viajar por Praga. existen varios registros mdicos, con un status legal incierto; el Presidente utiliz su poder de veto para una ley que expandira el uso de los nmeros de la fecha de nacimiento, pero este veto fue anulado. la ley de vigilancia financiera se introdujo para limitar el privilegio abogadocliente y los defensores ahora deben obligatoriamente informar sobre transacciones sospechosas. existen fuertes grupos de la sociedad civil. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. el ADN de todos los convictos y los perfiles se mantienen por ocho aos y las muestras son retenidas tambin por este periodo.
Rumania
Valoracin: el regulador con pocos recursos es apoyado por notables fallos de la Corte Constitucional. Algunos eventos preocupantes en la vigilancia de ADN y la reciente historia de abusos muestran que los servicios de seguridad requieren una gran supervisin. la Constitucin reconoce la privacidad y la confidencialidad de las comunicaciones; recientes casos en la Corte Constitucional han sido importantes en la defensa de de la privacidad. existe una ley integral de proteccin de datos, con otra ley sobre privacidad de las comunicaciones. los nuevos cambios en el Cdigo Civil tambin protegen la privacidad. existe un rgimen separado para la privacidad audiovisual. el regulador ha sufrido recortes en su presupuesto que le impiden contratar un equipo de personal completo y lo limitan para conducir investigaciones fuera de Bucarest.
113
el regulador ha tomado una firme posicin en varios casos. el rgimen de vigilancia de las comunicaciones requiere de autorizacin del Presidente de la Corte, y slo se autorizan interceptaciones por 30 das, renovables slo por 120 das. la vigilancia intrusiva es permitida slo si el crimen es punible por siete o ms aos en prisin. varios casos han surgido con el servicio secreto que espiaba a los periodistas y a otras figuras pblicas. alto nivel de interceptaciones en aos recientes. periodo de retencin de seis meses para trfico de comunicaciones fue apelado a la Corte Constitucional la cual determin que ste transgreda la Constitucin Rumana. el uso de los sistemas de Circuito Cerrado de Televisin (CCTV) est creciendo en la medida en que ste no est regulado. los pasaportes biomtricos implican la recoleccin de las 10 huellas dactilares. ratific el Convenio sobre Ciberdelincuencia. ADN: obtenido en innumerables casos, y slo eliminados por decisin judicial o por decisin del fiscal; las muestras se retienen.
Suecia
Valoracin: debido al surgimiento de controversias sobre la ley de interceptaciones, algunas protecciones mejoraron, pero en general han ocurrido eventos preocupantes y se hace necesaria supervisin a los servicios de seguridad. la Constitucin sirve de cimiento a la proteccin de la privacidad a travs de la ley habilitante; han habido llamados para una proteccin constitucional y el Parlamento sueco vot a favor de la propuesta (aunque de menor alcance), prohibiendo intrusiones "significativas". la ley de proteccin de datos ha sido enmendada debido a preocupaciones por considerarse "muy restrictiva", eliminando textos, sonidos, imgenes y otros "materiales no estructurados" de la Ley de Datos Personales. algunas protecciones sectoriales han ampliado las protecciones a la privacidad, p.ej. la privacidad de la informacin crediticia se ha incrementado por ley en 2010. el regulador es una agencia gubernamental pero "realiza sus funciones de manera independiente"; ha tomado posturas enrgicas en varios temas, p.ej. ha objetado el uso de datos biomtricos en los colegios incluso con consentimiento; el mercado directo y las tarjetas de fidelizacin; aunque se cree que su mandato es muy limitado. en discusin: la necesidad de un regulador de la "privacidad", el gobierno cre, en vez de ello, una comisin para vigilar y controlar el uso de vigilancia secreta por parte de la polica y de los servicios de seguridad; el primer comisionado renunci debido al caso de la Administracin Nacional de Transmisiones de Radio con fines de Defensa (FRA). en principio se requiere de una orden judicial para la interceptacin de comunicaciones, pero se les concede a los servicios secretos gran flexibilidad; las escuchas telefnicas se han incrementado en 500% desde 1999.
114
se le permite a la FRA el utilizar software para procesamiento de datos para buscar palabras claves en todas las comunicaciones por telfono y por correo electrnico que pasan a travs de las fronteras del pas; esta disposicin fue posteriormente enmendada debido a preocupaciones vinculadas con la privacidad, colocando a la FRA bajo investigacin poltica y disponiendo que se soliciten permisos para cada registro. a pesar de haber presionado para la retencin en la Unin Europea, Suecia la pas mal implantando una ley en ese sentido despus del la controversia surgida por el caso de la FRA. existen normas legales relacionadas al sistema de Circuito Cerrado de Televisin (CCTV), aunque su liberalizacin ha conducido un incremento considerable en el uso de CCTV; que incluso ahora se utiliza en los colegios. los pasaportes biomtricos no incluyen huellas dactilares. el plan de cdulas de identificacin electrnicas es voluntario e incluye datos biomtricos (faciales). a pesar de las recomendaciones de parte de un Comit encargado por el gobierno, no han surgido normas sobre privacidad en el centro laboral; aunque aparentemente la vigilancia no impera. la propuesta para centralizar los registros mdicos ignora las preocupaciones vinculadas con la privacidad; el regulador introdujo disposiciones de cmo se debe procesar la informacin; un cambio legislativo les puso a stas una base legal, pero tambin permiti su publicacin en Internet. ADN: obtenido de convictos y sospechosos de delitos que pueden ser penalizados con cuatro o ms aos; los perfiles de los convictos se conservan por periodos distintos dependiendo del delito, y aquellos de los sospechosos se eliminan una vez que hayan sido absueltos; las muestras se conservan de manera similar. No ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Suiza
Valoracin: protecciones tradicionales fuertes pero que estn siendo degradadas en los ltimos aos, con un ambicioso espionaje, dbil regulacin de los servicios secretos, entre ellas prximas deliberaciones sobre ampliaciones en vigilancia de las comunicaciones. Los reguladores estn realizando un buen trabajo pero se ven limitados por los recursos. proteccin constitucional para la privacidad, las comunicaciones y la proteccin de datos, con alguna muy convincente jurisprudencia. la ley federal integral slo requiere que se registren las compaas que utilizan datos sensibles o que transfieren informacin al extranjero. enmiendas importantes se introdujeron para exigir una seguridad adecuada y para limitar los vacios. protecciones adicionales para estadsticas sobre salud, datos mdicos y legales e investigaciones mdicas. el regulador a veces tiene posibilidades limitadas de intervenir; tiene que lidiar con volmenes significativos de quejas a pesar de sus limitados recursos; los
115
reguladores en los cantones tambin cuentan con recursos limitados; pero a menudo se toman decisiones notables. se han tomado medidas drsticas sobre las interceptaciones de comunicaciones legales; aunque la vigilancia de las comunicaciones se ha expandido en 2007 por parte de los servicios secretos. existe un periodo de retencin de seis meses; pero el gobierno se halla en consultas para expandirlo a 12 meses; instalacin de Troyanos, gusanos, etc., para vigilar las comunicaciones cifradas; se exige identificacin para acceder a los servicios de comunicacin, incluso en cafeteras y hoteles. la privacidad financiera est protegida por una ley de 1934, pero recientemente se han estado reduciendo estas protecciones. se est ampliando el uso de sistemas de Circuito Cerrado de Televisin (CCTV) e incluso el uso de aviones radiocontrolados (drones). los cambios en la emisin de pasaportes significa que todos los pasaportes nuevos contendrn dos huellas dactilares y existe una base de datos de huellas dactilares. se han instituido controles "mviles " de inmigracin. las nuevas cdulas de identificacin contendrn huellas dactilares. hay planes para implantar una identificacin para salud obligatoria que voluntariamente incluir el almacenamiento de informacin mdica. una creciente base de datos de ADN para un nmero ampliado de propsitos (la lista de delitos con las razones por las cuales sta poda ser obtenida, ha sido eliminada). el ADN puede ser utilizado para propsitos vinculados a seguros.
Turqua
Valoracin: la informacin limitada de este pas debe interpretarse como una falta de progreso en el desarrollo de estructuras adecuadas y mecanismos de reporte. protecciones constitucionales de la privacidad y de la vigilancia de las comunicaciones; existen propuestas para aadir la proteccin de datos. la ley de proteccin de datos ha estado pendiente desde 2003 y a pesar de ello cuenta con algunas lagunas legales. por ahora, la privacidad est regulada en el Cdigo Civil, en l se regula el mal uso de la informacin; otras protecciones sectoriales consideran temas de privacidad; pero se carece de una regulacin integral y del establecimiento de definiciones. los informes establecen que los defensores de derechos humanos son sometidos rutinariamente a vigilancia. se necesitan rdenes judiciales para la interceptacin de comunicaciones, lo cual ha generado preocupaciones en la comunidad de inteligencia nacional planes para cdulas de identificacin incluiran huellas digitales slo en la identificacin misma pero no en una base centralizada; aunque sta contiene la filiacin religiosa.
116
Reino Unido
Valoracin: en la ltima dcada este pas se ha vuelto en uno de los peores ejemplos de vigilancia entre los estados democrticos, pero ha habido algunos cambios notables y significativos en el pasado ao que pueden probar que es posible superar la categora de estado vigilante. no existe una proteccin constitucional a pesar de una rica historia de privacidad. la ley de proteccin de datos ha sido criticada por su debilidad; aunque se le han hecho mejoras, el regulador recibe muchas quejas, lo que demuestra que la concientizacin del pblico es alta; pero sus decisiones han indicado timidez que a menudo es percibido como "debilidad". al regulador se le han otorgado grandes poderes y capacidades significativas para imponer multas. amplios programas de vigilancia de bases de datos y redes han sido introducidos en la pasada dcada, aunque algunos estn siendo desmantelados. un ms amplio uso de vigilancia visual, contempla la vigilancia de voz y est enfocada en la vigilancia visual en poblaciones especficas. dbil rgimen regulatorio sobre acceso a datos con un amplio uso de estos poderes. la ley de interceptacin de comunicaciones slo requiere de una aprobacin ministerial con un mecanismo de supervisin pobremente dotado a travs de un "comisionado". las propuestas de sistemas informticos de salud han evitado instrumentar salvaguardas adecuadas. cuentan con la base de datos de ADN ms grande del mundo, aunque perdi un caso en la Corte Europea de Derechos Humanos que est conduciendo a un cambio en su poltica (a pesar del hecho que la decisin se tom en 2008 y actualmente todava persiste su poltica); el ADN se toma de convictos de delitos registrables, o de cualquier arrestado por un delito registrable; los perfiles se retienen de manera indefinida; las muestras se retienen.
Unin Europea
Valoracin: a pesar de contar con marcos legales lderes a nivel mundial y de un gran potencial para la innovacin, la agenda de seguridad est invalidando algunos de los principios bsicos de la Unin. las obligaciones del tratado ahora incluyen la proteccin de los derechos humanos, de la privacidad as como de los derechos de proteccin de datos; los fallos del Tribunal de Justicia de la Unin Europea en el rea de la privacidad son dbiles y tienden a ignorar temas sustantivos. la ampliacin de la Directiva a otras reas de procesamiento, esto es, al tradicional "tercer pilar" de la justicia y a los asuntos internos es un evento deseable. el rol de liderazgo de la Unin Europea es impresionante, pero a la vez est dando un mal ejemplo.
117
esfuerzos concertados para elevar la agenda de seguridad, es decir, el Programa de Estocolmo. la Directiva de retencin de datos fue la lder en legislacin sobre vigilancia. los estndares para pasaportes crearon un mandato para tomar las huellas dactilares de prcticamente toda la poblacin. la administracin de informacin de fronteras y las prcticas de vigilancia se estn incrementando, as como el financiamiento para investigar en esta rea. trabajo ejemplar del regulador y de las autoridades regulatorias.
118
CRITERIOS E INDICADORES
Se han analizado cada uno de los pases de acuerdo a los siguientes criterios:
SALVAGUARDAS DEMOCRTICAS
El marco de participacin, obligacin de dar cuenta, e imperio de la ley, le permite a una nacin nutrir y proteger derechos. Una sociedad abierta y democrtica es posiblemente la mayor protectora de la privacidad. Cuando un Estado es capaz de rendir cuentas a sus ciudadanos, este debe justificar sus decisiones de vigilancia, y debe necesariamente cambiar sus prcticas cuando los ciudadanos lo demandan, entre otros, por medio de las instituciones democrticas entre ellas la participacin abierta, los medios de comunicacin y el debate pblico, acceso a los legisladores y las cortes. Hemos utilizado la reciente clasificacin de The Economist sobre el estado de la democracia alrededor del mundo. Hemos utilizado el ndice de Democracia de The Economist de 2010 para calibrar la fortaleza de la naturaleza democrtica de un Estado.
PROTECCIN CONSTITUCIONAL
La Constitucin es la roca madre que estabiliza el marco democrtico pero que tambin provee la garanta del uso continuo de los derechos. La capacidad de recurrir a los principios fundamentales de un Estado y demostrar que la prctica de la vigilancia es incompatible con los intereses del gobierno de no interferir con la vida privada de las personas. Muchos Estados han ido ms all de slo establecer el derecho a la vida privada, sino que tambin incluyen clusulas especficas sobre la proteccin de las comunicaciones. En un nmero creciente de pases tambin existe un derecho constitucional a la proteccin de datos personales. Una prueba clave de la fortaleza de estos principios se da al momento en que un tribunal falla en casos en los que el gobierno ha ido muy lejos, y la naciente jurisprudencia contribuye a respaldar futuras demandas. Un pas cualquiera puede que no tenga siquiera un derecho a la privacidad diferenciado, pero los tribunales podran haber interpretado la existencia del derecho de la privacidad partiendo de los "derechos fundamentales" o de los principios de la "proteccin de la dignidad" establecidos en muchas constituciones. Existe una Constitucin y sta protege a la privacidad, incluso "bajo la sombra" de otros derechos? Existen otras protecciones, p.ej. derecho a la proteccin de datos y de las comunicaciones privadas? Los tribunales han defendido el derecho a la privacidad? Han habido casos recientes?
PROTECCIN LEGAL
Las leyes son la expresin del compromiso del gobierno frente a los derechos y las libertades de sus ciudadanos y le dan vida a los principios constitucionales. stas
119
tienden a darse en la forma de una ley de Proteccin de Datos, la cual en Europa es a menudo consistente con la Directiva de la Unin Europea sobre Proteccin de Datos (95/46/EC), al proteger la privacidad de la informacin tanto en el sector pblico como privado. A menudo los pases cuentan con leyes adicionales que se aplican a tipos especficos de informacin o de sectores, p.ej. la informacin mdica, la ley laboral, etc. La caracterstica ms importante de una ley es que permite a las personas obtener una reparacin en caso de algn perjuicio. Existen leyes que protegen el derecho a la privacidad frente a los gobiernos y las compaas? Existen leyes sectoriales, p.ej. de privacidad mdica, privacidad en el centro laboral, privacidad financiera? Son estas leyes tiles para iniciar acciones judiciales?
LA PRIVACIDAD EN LA PRCTICA
Para que cualquier ley protectora sea efectiva, su cumplimiento debe ser necesariamente contundente pero justo. Ello a menudo se logra con un regulador al que se le otorga jurisdiccin sobre la ley, p.ej. una ley de proteccin de datos, una ley del consumidor, etc., y que ste pueda entonces ayudar a las personas, conducir investigaciones y penalizar el incumplimiento. No todos los reguladores son iguales, pues algunos se preocupan de generar conciencia sobre su funcin y por tanto les recuerdan sus derechos a los ciudadanos. Otros hacen hincapi en su trabajo con el gobierno y la industria, para concientizarlos sobre sus deberes para con la ley. Estos reguladores deben necesariamente tener suficientes poderes para investigar y penalizar, ser independientes del gobierno, promover el conocimiento de derechos y responsabilidades. Existe un regulador independiente y competente? Existe un organismo regulador con suficientes poderes para investigar? Este regulador puede actuar proactivamente? El regulador acta de manera eficaz? El nmero de quejas es significativo? Los casos han sido conducidos a travs de los sistemas administrativos y legales?
LIDERAZGO
Algunos pases muestran un liderazgo positivo al promover enrgicas protecciones a la privacidad alrededor del mundo. Otros gobiernos actan de manera regresiva promoviendo malas polticas y sistemas de vigilancia. El gobierno o el regulador han dado pasos significativos en relacin a iniciativas de proteccin de la privacidad que hayan conducido a otros pases a considerar hacer lo mismo? El gobierno ha suscrito y ratificado tratados internacionales problemticos?
120
INTERCAMBIO DE DATOS
La privacidad se protege de la mejor manera cuando la informacin puede ser confinada para fines individuales justificables. El mantener la informacin en compartimentos estancos garantiza que el gobierno nunca tenga dominio sobre las vidas de las personas. Tradicionalmente la informacin mantenida por los gobiernos se ha mantenido en registros separados: p.ej. un archivo de tributacin se mantiene separado de un archivo mdico. De manera creciente los gobiernos estn entusiasmados en encontrar nuevas formas de concentrar informacin de todas las dependencias gubernamentales. Pueden hacer eso con diferentes propsitos, p.ej. combinar los registros de asistencia sanitaria con aquellos de verificacin del status migratorio. La privacidad se protege de la mejor forma cuando existen fuertes barreras de proteccin entre estas fuentes de informacin, dado que fueron recolectadas con un propsito y no deben ser utilizadas para otro. Existen leyes protectoras frente al uso de informacin para propsitos secundarios? El gobierno ha establecido planes para disminuir las protecciones existentes?
VIGILANCIA VISUAL
La vigilancia visual electrnica se est volviendo cada vez ms entorno. La fusin entre sistemas de comunicacin y software oportunidades para rastrear, generar perfiles y discriminar. El propagacin de la vigilancia visual han sido impresionantes en
121
Anteriormente, la vigilancia visual fue utilizada escasamente; ahora la vigilancia visual est siendo utilizada en ms lugares, con menores restricciones. A pesar de que muchas investigaciones criminolgicas muestran que los actuales sistemas tienen poco efecto en el crimen y son proclives a que se comentan abusos con ellos. En qu medida existen sistemas de vigilancia visual en los sectores pblico y privado? Estn stos regulados y sus limitaciones se cumplen? Cul es la naturaleza del debate de polticas?
INTERCEPTACIN DE COMUNICACIONES
La interceptacin en general es considerada entre las formas ms intrusivas de vigilancia. Los pases que entiendan esto la implantarn bajo una ley con condiciones extremadamente estrictas y se aplicarn rigurosos controles. La interceptacin debe realizarse con moderacin una vez que otros mtodos de investigacin hayan sido probados, y hayan fallado; y sta sea autorizada por un juez imparcial, con supervisin habitual de las actividades de las agencias estatales. Cada vez ms, los gobiernos estn haciendo uso de vigilancia no autorizada. Existen leyes adecuadas que ofrecen proteccin frente a los abusos? Cundo puede interceptar la polica? p.ej. slo cuando se estn investigando tipos especficos de delitos, "delitos graves", etc. Las agencias de seguridad estatales tiene que seguir las mismas reglas? Quin las autoriza? un juez? un poltico? (las "rdenes judiciales" no significan lo mismo en todos los pases, donde los jueces tiene poderes de investigacin, pero hacemos todo lo posible para hacer notar esto)
122
Los gobiernos se facultan a s mismos para tener acceso a los datos mantenidos por compaas e individuos. Muy a menudo hacen ello sin exigir a la polica y las agencias de seguridad a obtener la autorizacin de un juez, y nunca le dicen a la persona que sus datos personales fueron accedidos por el Estado. Qu facultades tienen las distintas agencias para tener acceso a archivos? Existe salvaguardas sobre cmo las fuerzas del orden obtienen acceso a los datos en bases de datos del sector privado?
PRIVACIDAD MDICA
Las personas estn ms preocupadas sobre la privacidad de su informacin mdica ms que cualquier otro aspecto de sus vidas. A pesar de ello los gobiernos estn explotando de manera creciente los datos mdicos de sus ciudadanos. Lo que fue alguna vez informacin mdica confidencial es ahora un recurso para ser colectado, analizado y compartido. Algunos Estados cuentan con leyes que protegen la informacin recolectada en la prestacin de asistencia sanitaria. Otros Estados, cuentan con leyes que obligan el intercambio de esta informacin. De manera creciente, los Estados estn buscando desarrollar sistemas electrnicos que puedan recolectar, procesar y almacenar de manera centralizada toda esta informacin tan sensible. Los pacientes tienen control sobre su informacin mdica?
123
Existen salvaguardas y protecciones contra usos secundarios y otros? Existen planes para desarrollar un registro centralizado de pacientes? Existen salvaguardas sobre cmo se recolectar y utilizar la informacin?
PRIVACIDAD FINANCIERA
En los ltimos aos, el perfil financiero de las personas se ha vuelto un recurso abierto para los gobiernos y las compaas. Rastros auditados de comportamiento financiero son compartidos de manera rutinaria en los gobiernos y el sector empresarial con poca o ninguna distincin entre los mismos. El vigilar las cuentas bancarias, las transferencias internacionales, y el estado de las finanzas de uno es de inters tanto del Estado como de la industria. Ambos desean saber sobre hbitos y compras, mientras que el Estado tambin desea exigir la revelacin de esta informacin para identificar el lavado de dinero, pero tambin para identificar posibles fuentes de fraude, o incluso de ingresos fiscales. A veces, los Estados requieren de una revelacin sistemtica de informacin financiera, ya sea a travs de la publicacin de devoluciones tributarias, o la recoleccin de todas las transacciones sospechosas. Existen protecciones acerca del acceso gubernamental a informacin financiera? Existen salvaguardas acerca de otros usos de la informacin financiera por parte del sector privado?
PRIVACIDAD FRONTERIZA
Las fronteras se estn convirtiendo actualmente en zonas libres de la influencia de las constituciones y donde los gobiernos pueden hacer lo que quieran. Los Estados estn introduciendo medidas para recolectar grandes cantidades de informacin de todos los viajeros, tanto ciudadanos como visitantes, con la justificacin de "asegurar" las fronteras. Actualmente los Estados estn introduciendo medidas, inspiradas por la Administracin Bush, para recolectar las huellas dactilares de todos los viajeros, as como informacin de inteligencia de los registros de su reserva de boletos areos con el fin de hacer perfiles de pasajeros. El gobierno ha realizado la confeccin de perfiles en las fronteras o ha empezado a recolectar datos de pasajeros? El gobierno est recolectando datos biomtricos en las fronteras? El gobierno ha iniciado acuerdos con otros gobiernos para compartir informacin?
"seguridad nacional" est actualmente siendo utilizada tan comnmente como la de "terrorismo" para justificar futuros abusos al debido proceso y al estado de derecho. La historia muestra que la vigilancia secreta, por parte de los servicios de seguridad, ha causado mucho dao y conduce a abusos. Muchos gobiernos estn volviendo a estas prcticas y estn permitiendo a sus servicios de seguridad el eludir las protecciones constitucionales y legales, as como las salvaguardas, evitar las solicitudes de rdenes, impedir la supervisin y exceptuando a estas agencias de los alcances de la ley. Las agencias de seguridad nacional estn exceptuadas de los alcances de las leyes sobre privacidad? Existen mecanismos adecuados de informacin y supervisin de la vigilancia secreta? Ha habido casos de abuso? y si as ha ocurrido, se han puesto en prctica salvaguardas adecuadas para estos casos?
ADN
Muchos pases actualmente imponen la recoleccin de muestras de ADN y la generacin de perfiles de ADN para personas inocentes las cuales no han sido acusadas o para aquellas en investigaciones pequeas, y luego retienen sus perfiles y muestras por amplios periodos de tiempo, a veces indefinidamente. A pesar de que la Corte Europea de Derechos Humanos ha fallado contra esta prctica, muchos pases ignoran a propsito la necesidad de salvaguardas y protecciones. Consultamos al Consejo de Gentica Responsable para desarrollar este ndice. Existen limitaciones bajo cuyas circunstancias puede ocurrir la recoleccin de ADN? p.ej. limitado a convictos y a delitos graves? Cundo se eliminan los datos? Existe algn intercambio de datos? Qu ocurre con las muestras de ADN una vez que se han generado los perfiles?
125
RESULTADOS
126
METODOLOGA
ACERCA DE NUESTRO ENFOQUE ANALTICO
La metodologa para nuestro anlisis y clasificacin de pases est basada en una evaluacin cualitativa de datos de investigacin producto en su mayora de los informes nacionales del EPHR 2010. El EPHR 2010 consta de ms de 750 pginas de informes realizados por expertos a lo largo de Europa. Estos son expertos en materia legal, tecnolgica y acadmica a quienes se les solicit contribuir a actualizar el texto existente de informes de aos anteriores, y aadir informacin bajo cierto nmero especfico de categoras. Estas categoras entonces sustentan los criterios para las clasificaciones. La investigacin fue complementada por la propia investigacin del equipo de Privacy International que hace un seguimiento de los eventos vinculados a la privacidad alrededor del mundo. Tambin contamos con una red de miembros de nuestro Consejo Consultivo y colegas en los pases en Europa, as como una relacin con varios funcionarios de regulacin quienes nos guiaron cuando encontramos dificultades en la recoleccin de informacin. Tambin fuimos capaces de identificar otros estudios de investigacin que se haban enfocado en temas de privacidad y derechos humanos que involucran a distintos pases. En especial utilizamos: El "ndice de Democracia 2010" de la Unidad de Inteligencia del The Economist, publicado en Diciembre de 2010, pues este es un slido indicador de la responsabilidad democrtica de cada uno de los Estados incluidos en nuestro estudio. Como resultado de ello utilizamos el estudio de The Economist como la fuente primaria para nuestra categora "Salvaguardas Democrticas". Surgieron dos problemas al confiar en el estudio de The Economist : (1) El estudio de The Economist se bas en una puntuacin con valor mximo 10, mientras que nuestros estudios estuvieron basados previamente en puntuaciones con valor mximo 5. (2) El estudio de The Economist incluy como parte de sus propios criterios la categora de "libertades civiles", de modo que hubo el riesgo de considerar el tema dos veces. El Consejo de Gentica Responsable (Council of Responsible Genetics) (CRG) public un informe en diciembre de 2010 resumiendo su investigacin inicial sobre polticas de bases de datos de ADN alrededor del mundo. Tenemos una relacin laboral muy cercana con el CRG y confiamos en la integridad de su proceso de investigacin. Adicionalmente, cruzamos informacin sobre sus hallazgos por nuestra parte con los informes nacionales del EPHR y encontramos un gran nivel de sinergia en los resultados cuando contamos con informacin sobre bases de datos de ADN en nuestros estudios de cada pas. Notamos un caso en el cual nuestros resultados estaban ms actualizados en
127
eventos recientes, y de similar forma, encontramos un par de casos en los que nuestros informes nacionales no estaban tan al corriente como en el caso del estudio del CRG. Igualmente confiamos en varias investigaciones encargadas por la Comisin Europea sobre la divergencia entre las leyes sobre privacidad y el trabajo de los reguladores para incrementar la conciencia sobre la privacidad. Ello nos ayud a pensar en los criterios.
Y por ello, incluso en pases con disposiciones constitucionales sobre privacidad, las Cortes podran emitir fallos contra las protecciones de la privacidad. Por tanto necesitbamos cambiarnos a un sistema que pudiera ocuparse de stas dinmicas: dado que la Constitucin no menciona a la privacidad, ello podra haber hecho ms complicado para la judicatura hablar de privacidad, y an a pesar de ello podran hablar a favor de sta y quizs ms que en aquellos otros pases con protecciones especficas. Para ocuparse de stas dinmicas, las cuales son prcticamente inherentes en todas las categoras, desarrollamos una serie de preguntas que se aplican a cada categora y un sistema de valuacin. Juzgaramos al pas en relacin a las distintas sub preguntas en la categora y el pas se valorar: 0 sin salvaguardas o protecciones 1 algunas salvaguarda 2 protecciones avanzadas Este sistema tiene dos riesgos de sesgo. Primero, este tiene un riesgo de sesgo positivo en el hecho que un pas no sea "castigado" por un bajo puntaje en particular pero podra en vez de ello recibir slo puntos nominales en la medida en que no podemos "eliminar" puntos provenientes de los resultados de las otras preguntas que hemos puntuado. Nos parece que vale la pena tener un sesgo a favor de los gobiernos. De hecho, incrementamos este sesgo al permitir un puntaje especial de "2*" 3 puntos para pases con fuertes protecciones particulares en un sub rea que creemos debe ser notado aunque este no necesariamente afecte las otras preguntas dentro de la categora. El segundo sesgo posible es que un pas del cual contamos informacin muy limitada sera juzgado ms severamente que uno del cual tenemos ms informacin. Para mitigar los riesgos de juzgar errneamente a los pases, estuvimos ms deseosos de no aplicar juicio alguno a un pas dentro de la categora si muy poca informacin estuviera disponible. Tambin promediamos las respuestas dentro de la categora basados en la calidad de la informacin. Por tanto, todas las categoras fueron medidas con un valor mximo de 10. Nuevamente, varios expertos revisaron este proceso, y muchas de las decisiones se explican dentro de la seccin de "anlisis" de este informe.
ENFOQUE NORMATIVO
La obvia dificultad de disear preguntas y criterios para las mediciones en cada categora es que ello requiere que seamos ms explcitos en lo que creemos que son "buenas" respuestas a estas preguntas. Esto significa que tenemos que decidir qu es lo que consideramos como un grupo de prcticas aceptables para un Estado democrtico. Estamos por tanto presionados para realizar juicios subjetivos como normativos. Hacemos uso de indicadores objetivos en la mayor medida posible (p.ej. la existencia de leyes, el nmero de casos, los poderes y la extensin de la recoleccin de datos y del acceso). Inevitablemente entonces, tenemos que aplicar un nivel de subjetividad basado en las percepciones de nuestros expertos y analistas de si sta es una buena prctica o es meramente una prctica aceptable (ello compone el "2" dentro del sistema). Esta crtica se aplica a cualquier estudio, sin embargo: incluso aquellos indicadores "objetivos" escogidos son de hecho indicadores elegidos de manera meramente subjetiva, y elegidos con el propsito de parecer objetivos cuando de hecho estos no pueden ser siempre indicativos de la situacin. El gran reto para una organizacin de defensa de la privacidad al conducir esta valoracin, y quizs para cualquier grupo de defensa en cualquier rea que busque algo similar, es que si los criterios son justos, y si existe un sesgo positivo, entonces debemos estar deseosos de ser explcitos sobre lo que encontramos como "aceptable", o quizs incluso "deseable". Es fcil condenar una prctica, y por tanto otorgarle un "0"; pero como medimos algo dentro de un esquema de vigilancia como "1", "2", o incluso "2*". No podramos darle ninguna puntuacin positiva a un sistema de vigilancia debido a que, por definicin se est realizando vigilancia. Por supuesto, podramos tambin disminuir nuestras expectativas y slo celebrar cuando algo dentro de un sistema de vigilancia sea "menos malo" que en el sistema de vigilancia de otro pas. Ms bien, la solucin est en ser honrados en nuestros objetivos: no buscamos ver un mundo en el que la vigilancia est completamente ausente. Sino que quisiramos ver un mundo en el que la vigilancia sea mnima, conducida legalmente, slo cuando sea necesaria en una sociedad democrtica, y que sea proporcionada, con salvaguardas intrnsecas pertinentes, y derechos a recursos. De modo que un pas pueda tener un sistema de retencin de datos de comunicaciones y an as obtener puntuaciones positivas; tanta puntuacin positiva como un pas sin un sistema de retencin de datos de comunicaciones; y posiblemente incluso ms dado que en algunos pases podra no existir una ley aunque la prctica sea extendida. Es importante destacar que los defensores de la privacidad no slo ven el estado de las leyes como su objetivo ltimo, sino que en vez de ello creemos que la proteccin de la privacidad es ms fuerte en los pases en los que el debate sobre la privacidad est vivo y es importante. Esto es, que el marco de un pas es quizs ms fuerte cuando las protecciones en palabras y leyes son fuertes, pero tambin cuando el debate sobre los mismos es fuerte. Claro que podemos contar las leyes, pero si las personas no conocen sus derechos y las organizaciones no conocen sus deberes, entonces nada ha sido logrado. El reto entonces se convierte en el de medir el discurso poltico alrededor de la privacidad, y a veces lo hacemos objetivamente observando el nmero de quejas a los
130
reguladores; y a veces viendo un poco ms subjetivamente a los tipos de cobertura de los medios de comunicacin en un pas, la fuerza de su sociedad civil, y la voluntad de la ciudadana para cuestionar una prctica tanto pblicamente y, cuando sea necesario, legalmente, y la medida en la que una nacin respalda estos tipos de accin a travs de la asignacin de recursos. Como defensores y acadmicos, creemos que el reto fundamental en todas las metodologas es para el investigador el conocer que es lo que est esperando alcanzar.
ALGUNAS REFERENCIAS
"Democracy index 2010: Democracy in retreat", Economist, Unidad de Inteligencia, Diciembre 2010. UNDP y Global Integrity, "A User's Guide to Measuring Corruption", UNDP y Global Integrity, 2008. "Evaluating the Evaluators: Media Freedom Indexes and What They Measure", Centre for International Media Assistance of the National Endowment for Democracy y el Center for Global Communications Studies at the Annenberg School for Communication, 2010.
131
132
D. Unin Europea
355
133
concernientes a una persona deben necesariamente ser procesados de manera leal, y sobre la base del consentimiento o de otro fundamento legtimo previsto por ley, que toda persona tiene derecho a acceder y rectificar los datos recogidos que la conciernan,363 y que el cumplimiento de estas normas debe estar sujeto al control de una autoridad independiente.364 A su turno, el Tribunal de Justicia de la Unin Europea, que tiene como sede Luxemburgo y que es el mximo intrprete de las leyes de la UE, empez a reconocer la existencia de un derecho europeo a la proteccin de datos de carcter personal.365 El Tratado de Lisboa puso fin a la divisin en la UE en tres pilares, los cuales durante dcadas haban determinado el desarrollo de la legislacin en la UE, y por tanto de las normas de proteccin de datos de carcter personal de la UE. Desde la entrada en vigor del Tratado de Lisboa, la UE tiene en el Artculo 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea una nueva base legal para la regulacin de los datos de carcter personal, ya sea en el sector privado como en el sector pblico, incluyendo el procesamiento en el rea policial y en el de cooperacin judicial.366 Esta nueva base legal podra ser utilizada en el contexto de la revisin del que es actualmente el principal instrumento legal de la UE para la proteccin de datos de carcter personal, en otras palabras, la Directiva de Proteccin de Datos.
de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legtimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificacin. 3. El respeto de estas normas quedar sujeto al control de una autoridad independiente." 363 Art. 8(2) de la Carta. 364 Art. 8(3) de la Carta. 365 ECJ, Caso C-73/07, Tietosuojavaltuutettu contra Satakunnan Markkinaprssi Oy, Satamedia Oy, Fallo del 16 de diciembre 2008; Caso C-275/06, Productores de Msica de Espaa (Promusicae) contra Telefnica de Espaa SAU, Fallo del 29 de enero 2008, 63. 366 Art. 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea que establece que: "1. Toda persona tiene derecho a la proteccin de los datos de carcter personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecern, con arreglo al procedimiento legislativo ordinario, las normas sobre proteccin de las personas fsicas respecto del tratamiento de datos de carcter personal por las instituciones, rganos y organismos de la Unin, as como por los Estados Miembros en el ejercicio de las actividades comprendidas en el mbito de la aplicacin del Derecho de la Unin, y sobre la libre circulacin de estos datos. El respeto de dichas normas estar sometido al control de autoridades independientes. Las normas que se adopten en virtud del presente artculo se entendern sin perjuicio de las normas especficas previstas en el artculo 39 de la Versin Consolidada del Tratado de la Unin Europea." El Art. 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea tambin se aplica al procesamiento en el rea de la Poltica Exterior y Seguridad Comn, en la medida en que las instituciones de la UE procesen datos de carcter personal (Art. 39 de la Versin Consolidada del Tratado de la Unin Europea dispone una base legal especfica para el procesamiento de datos por parte de los Estados Miembros en el segundo pilar, este establece que: "De conformidad con el artculo 16 del Tratado de Funcionamiento de la Unin Europea, y no obstante lo dispuesto en su apartado 2, el Consejo adoptar una decisin que fije las normas sobre proteccin de las personas fsicas respecto del tratamiento de datos de carcter personal por los Estados Miembros en el ejercicio de las actividades comprendidas en el mbito de la aplicacin del presente captulo, y sobre la libre circulacin de dichos datos. El respeto de dichas normas estar sometido al control de autoridades independientes.").
134
135
disposiciones de la Directiva;377 el derecho a un recurso judicial;378 y el derecho a oponerse a ciertas prcticas de tratamiento o procesamiento de datos.379 Cualquier persona que haya sufrido un perjuicio como resultado de una operacin ilegal de procesamiento tiene derecho a recibir una reparacin de parte del responsable de datos.380 En concordancia con el derecho fundamental a la proteccin de datos como se estableci en el Artculo 8 de la Carta,381 la Directiva de Proteccin de Datos exige a los Estados Miembros garantizar que autoridades independientes vigilen la aplicacin de sus disposiciones.382 El Tribunal de Justicia de la Unin Europea ha clarificado recientemente el significado de la condicin de "absoluta independencia" de las autoridades supervisoras de la proteccin de datos, haciendo hincapi en que no es compatible con el hecho de estar sujetas a la supervisin del Estado.383 Las autoridades supervisoras deben ser necesariamente dotadas de poderes de investigacin y de poderes efectivos de intervencin, tales como poderes para ordenar el bloqueo, el borrado, y la destruccin de datos, o el imponer una prohibicin temporal o permanente del tratamiento de datos.384 La Directiva de Proteccin de Datos estableci un organismo de consulta llamado Grupo de Trabajo sobre la Proteccin de las Personas con relacin al Tratamiento de Datos Personales, o Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 (de aqu en adelante, GT29).385 Este organismo est compuesto por representantes de las autoridades de supervisin de los Estados Miembros y acoge igualmente a un representante del Supervisor Europeo de Proteccin de Datos, una autoridad supervisora instaurada en el 2004 (mayor informacin ms adelante). La Directiva de Proteccin de Datos dispone un mecanismo por medio del cual las transferencias de datos personales fuera del territorio de la UE deben cumplir un nivel "adecuado" de procesamiento de acuerdo a lo prescrito por las disposiciones de la Directiva.386 El hallazgo de la Comisin Europea de un nivel adecuado de proteccin en un pas fuera de la UE efectivamente desbloquea la transferencia de datos personales a dicho tercer pas. Las decisiones de la Comisin Europea sobre la idoneidad de la proteccin de datos personales en terceros pases actualmente comprenden a Argentina, la Ley de Proteccin de Informacin Personal y de Documentos Electrnicos de Canad, Andorra, el Bailiazgo de Guernsey, el Bailiazgo de Jersey, la Isla de Man, las
Id., Art. 12. El Tribunal de Justicia de la Unin Europea aclar el significado de este artculo en el: Caso C 553/07, College van burgemeester en wethouders van Rotterdam contra M.E.E. Rijkeboer, Fallo del 7 de mayo de 2009. 378 Directiva 1995/46/EC, supra en el Art. 22. 379 Id., Art. 14. 380 A menos que el responsable de datos pruebe que este no es responsable del evento que gener el perjuicio, Id., Art. 23. 381 Art. 8(3) de la Carta, supra. 382 Directiva 1995/46/EC, supra en el Art. 28. 383 Tribunal de Justicia de la Unin Europea, Caso C-518/07, Comisin Europea contra Repblica Federal de Alemania, Sentencia del 9 de Marzo de 2010. 384 Directiva 1995/46/EC, supra en el Art. 28(3). 385 Id., Art. 29. 386 Id., Art. 25. Sin embargo, esta no es la nica posibilidad para que ocurra una transferencia hacia un tercer pas (ver, en particular, Art. 26 de la Directiva 1995/46/EC).
377
136
Islas Feroe y Suiza.387 Las transferencias comerciales de datos de la UE a los Estados Unidos de Amrica pueden darse bajo el llamado Acuerdo de Puerto Seguro.388 El Tribunal de Justicia de la Unin Europea establece la interpretacin de la normativa de la UE que los tribunales de los Estados Miembros deben tomar en cuenta cuando apliquen sus leyes nacionales con el fin de estar en concordancia con las normas de la UE. El Tribunal de Justicia de la Unin Europea ha fallado sobre la Directiva de Proteccin de Datos en varios casos. En un fallo de 2003, ste dej en claro que el amplio alcance de la Directiva se aplica tambin al tratamiento o procesamiento de datos personales dentro del sector pblico y confirm que la Directiva puede ser invocada por las partes interesadas en los tribunales nacionales.389 En otra sentencia de 2003, el Tribunal de Justicia de la Unin Europea estableci que la Directiva se aplica a los sitios web y que el subir archivos de informacin personal a la Internet no activa automticamente la disposicin de transferencia a terceros pases a pesar de que la pgina web sea universalmente accesible.390
137
principios adicionales (tales como "privacidad por diseo"394 y "responsabilidad",395 para modernizar algunas disposiciones (p.ej. el limitar las cargas burocrticas, pero tambin mejorar la proteccin de los titulares de los datos396); para establecer un marco legal integral, aplicado tambin a la cooperacin policiaca y judicial en asuntos penales; y para mejorar las condiciones para las transferencias de datos a terceros pases, promoviendo estndares internacionales y nuevas reglas sobre leyes aplicables, as como el reglamentar por ley el uso de las Normas Corporativas Vinculantes (Binding Corporate Rules (BCRs)).
138
La revisin de 2009 de la Directiva sobre la privacidad y las comunicaciones electrnicas400 modific los textos anteriores en distintas formas. Primero, ste estableci una definicin legal de violacin de los datos personales.401 Los proveedores de servicios de comunicaciones que se hallan dentro del alcance de la Directiva estn obligados a notificar las violaciones a las autoridades nacionales competentes, as como a los abonados o clientes que probablemente sean afectados negativamente por la violacin (esto es, por robo de identidad, prdida de la reputacin, etc.), y no ser necesaria si se puede demostrar que ste ha implantado las medidas de seguridad apropiadas para la proteccin de los datos. Dicha notificacin debe ser acompaada por una lista de las medidas sugeridas para contrarrestar la violacin, y deber crearse un inventario de todas las violaciones ocurridas.402 Para este fin, se les otorg a las autoridades supervisoras competencias ampliadas. Ellos obtuvieron los poderes de investigacin necesarios y los recursos para vigilar a los proveedores de servicios, detener las infracciones y hacer cumplir las disposiciones de la Directiva. Adems, ellos adquirieron los medios para perseguir una cooperacin transfronteriza.403 Segundo, la revisin reforz las medidas sobre software espa y cookies, as como con el spam. Lo anterior puede ser instalado en el equipo terminal de los abonados, para obtener acceso a la informacin ya almacenada en ellos, slo con el explcito consentimiento del abonado o del usuario, dado despus de haberle sido proporcionado con informacin clara, en concordancia con la Directiva 1995/46/EC y despus de haberle concedido el derecho a rechazar dicho acceso, a menos que dicho acceso sea necesario para propsitos estrictamente de transmisin de una comunicacin o proporcionar un servicio expresamente solicitado.404 Para el spam, las infracciones de las disposiciones sobre comunicaciones no solicitadas ahora pueden ser solucionadas por medio de un procedimiento legal, por parte de personas naturales y jurdicas.405
139
retencin de datos de comunicaciones por motivos de seguridad.406 En el 2006, la UE modific la Directiva sobre la Privacidad y las Comunicaciones Electrnicas al promulgar la Directiva sobre Conservacin de Datos (Directiva 2006/24/EC),407 la cual obliga a los Estados Miembros a exigir a los proveedores de comunicaciones a retener o conservar datos de comunicaciones por un periodo entre seis meses a dos aos. Los Estados Miembros tenan hasta septiembre de 2007 para transferir las exigencias de la Directiva a su legislacin nacional, pero se les facult a posponer la implementacin en relacin al acceso a Internet, la telefona por Internet y los correos electrnicos por Internet hasta marzo de 2009. A inicios de 2010, siete Estados Miembros todava no haban adoptado la legislacin nacional pertinente.408 Las implementaciones de la Directiva sobre Conservacin de Datos varan en cada Estado Miembro. Las diferencias ms notables estn relacionadas a los periodos de retencin o conservacin de datos, los datos a conservar, los tipos de delitos que justificaran el acceso a los datos y los mtodos para que las fuerzas del orden accedan a los datos. La Comisin Europea ha demandado a varios Estados Miembros por fallar en el traslado satisfactorio de la Directiva de Conservacin de Datos en sus marcos legislativos, en algunos casos ya con sentencias que confirman el incumplimiento de transponer debidamente sus disposiciones.409 Al momento de su adopcin, el GT29 emiti un dictamen sobre la Directiva de Conservacin de Datos en la cual asever que "[l]a decisin de conservar datos de comunicacin con el fin de combatir la delincuencia grave es un hecho sin precedentes que tiene una dimensin histrica. Afecta la vida cotidiana de todos los ciudadanos europeos y puede poner en peligro los valores y las libertades fundamentales que disfrutan y estiman".410 El GT29 observ posteriormente que la Directiva careca de algunas salvaguardas adecuadas y especficas para el tratamiento de los datos de comunicaciones y que permita una interpretacin e implementacin divergente en este punto por parte de los Estados Miembros.
Art. 15(1) de la Directiva 2002/58/EC. Directiva 2006/24/EC del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por las que se modifica la Directiva 2002/58/EC, OJ L 105, 13.4.2006, pp. 54-63. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>. 408 Austria, Blgica, Grecia, Irlanda, Luxemburgo, Polonia, y Suecia. Cfr. Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Informe 01/2010 sobre la segunda accin conjunta de control de la aplicacin de la legislacin de la UE: cumplimiento a nivel nacional de los prestadores de telecomunicaciones y de proveedores de servicios de internet de la obligacin proveniente de la legislacin nacional sobre conservacin de datos basados en los Artculos 6 y 9 de la Directiva sobre la privacidad y las comunicaciones electrnicas 2002/58/EC y la Directiva sobre la conservacin de datos 2006/24/EC que modific la Directiva sobre la privacidad y las comunicaciones electrnicas, WP 172, 13 de julio de 2010, Bruselas. 409 Ver, en particular: Tribunal de Justicia de la Unin Europea, Caso C-189/09, Comisin Europea contra Repblica de Austria, Sentencia del 29 de Julio de 2010; Caso C-185/09, Comisin Europea contra Reino de Suecia, Sentencia del 4 de febrero 2010; Caso C-202/09, Comisin Europea contra Irlanda, Sentencia del 26 de noviembre de 2009; Caso C-211/09, Comisin Europea contra Repblica Helnica, Sentencia del 26 de noviembre de 2009; Caso C-394/10, Comisin Europea contra Gran Ducado de Luxemburgo, demandado el 4 de agosto de 2010. 410 Grupo de Trabajo del Articulo 29, Dictamen 3/2006 sobre la Directiva 2006/24/EC del Parlamento Europeo y del Consejo sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/EC, WP 119, 25 de marzo de 2006, Bruselas, en la pgina 2. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp119_es.pdf>.
407 406
140
Irlanda inici un proceso judicial buscando la anulacin de la Directiva de Conservacin de Datos directamente ante el Tribunal de Justicia de la Unin Europea,411 fundamentando que ste no haba sido adoptado sobre la base legal apropiada. Ms de 40 ONGs de libertades civiles y asociaciones profesionales con sede en distintos pases aprovecharon la oportunidad para enviar una carta al Tribunal de Justicia de la Unin Europea con una peticin para la anulacin de la Directiva.412 En febrero de 2009, el Tribunal de Justicia de la Unin Europea determin que la Directiva fue adoptada sobre la base legal correcta y, sin un anlisis de fondo sobre el tema de la privacidad, desestim la demanda que buscaba su anulacin.413 A nivel nacional, distintas acciones legales han combatido a las leyes nacionales que han trasladado la Directiva de Conservacin de Datos. La Digital Rights Ireland present una demanda contra el Gobierno Irlands ante la Corte Suprema en septiembre de 2006.414 En el caso argumenta que la ley de conservacin de datos irlandesa viola principios fundamentales de derechos humanos y es por tanto contraria a la Constitucin de Irlanda as como a las leyes de Proteccin de Datos de Irlanda y de la UE.415 En Alemania, 34,000 ciudadanos objetaron la transposicin de la Directiva de Conservacin de Datos ante el Tribunal Constitucional Federal Alemn, haciendo de esta la ms grande accin legal jams vista ante este tribunal.416 La sentencia final del Tribunal Constitucional Federal Alemn fue expedida el 2 de marzo de 2010.417 Jurisprudencia adicional pertinente fue emitida por el Tribunal Constitucional Rumano, el 8 de octubre de 2009418 y por el Tribunal Administrativo de Bulgaria el 11 de diciembre de 2008.419 En concordancia con las disposiciones de la Directiva de Conservacin de Datos,420 la Comisin Europea llev a cabo una evaluacin de su aplicacin e impacto en otoo de 2010.
Tribunal de Justicia de la Unin Europea, Caso C-301/06, Irlanda contra Consejo de la Unin Europea, Parlamento Europeo. Demanda disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2006:237:0005:0005:ES:PDF>. 412 Arbeitskreis Vorratsdatenspeicherung, "European NGOs Ask Court to Annul Data Retention Directive, 8 de abril de 2008, disponible en <http://www.vorratsdatenspeicherung.de/content/view/216/79/lang,en/#_note-0>. 413 Tribunal de Justicia de la Unin Europea, Caso C-301/06, Irlanda contra Parlamento Europeo, Consejo de la Unin Europea, Sentencia del 10 de febrero de 2009. Sentencia disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:082:0002:0003:ES:PDF>. 414 Digital Rights Ireland, "DRI Brings Legal Action over Mass Surveillance," 14 de septiembre de 2006, disponible en <http://www.digitalrights.ie/2006/09/14/dri-brings-legal-action-over-mass-surveillance/>. 415 Id. 416 Arbeitskreis Vorratsdatenspeicherung, "Constitutional Complaint Filed against German Telecomms Data Retention Act," 31 de diciembre de 2007 disponible en <http://www.vorratsdatenspeicherung.de/content/view/184/79/lang,en/>. 417 Vorratsdatenspeicherung (Conservacin de datos) BVerfG 2 de marzo de 2010, 1 BvR 256/08, disponible en < http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html>. 418 Resolucin No. 1258, Tribunal Constitucional Rumano, 8 de octubre de 2009, publicado en el Romanian Official Monitor, No. 789, 23 de noviembre de 2009. 419 Resolucin No. 13627, Tribunal Administrativo de Bulgaria ( ), 11 de diciembre de 2008. 420 Directiva 2006/24/EC, supra en el Art. 14.
411
141
Reglamento (CE) No 45/2001 del Parlamento Europeo y del Consejo del 18 de diciembre de 2000 relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulacin de estos datos, OJ L 8, 12 de enero de 2001, en las pginas 1-22. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:ES:PDF>. 422 Reglamento (CE) No 1049/2001 del Parlamento Europeo y del Consejo del 30 de mayo de 2001 relativo al acceso del pblico a los documentos del Parlamento Europeo, del Consejo y de la Comisin, OJ L 145, 31 de mayo de 2001, en las pginas 43-48. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:145:0043:0048:ES:PDF>. 423 Tribunal de Justicia de la Unin Europea, Caso C-28/08 P, Comisin Europea contra The Bavarian Lager Co. Ltd, Sentencia del 29 de junio de 2010. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004A0194:ES:HTML>. 424 Id., 58-59.
421
142
Despus de muchos aos de debate sobre la posibilidad de establecer un instrumento horizontal de proteccin de datos para todo el "tercer pilar",425 la Decisin Marco del Consejo 2008/977/JHA fue adoptada el 27 de noviembre de 2008.426 Sin embargo, el alcance de la aplicacin de esta Decisin Marco es extremadamente limitado. De hecho, este concierne exclusivamente a la proteccin de datos personales intercambiados entre Estados Miembros y que no estn sujetos a otras disposiciones a nivel de la UE. Las innovaciones introducidas por el Tratado de Lisboa pueden finalmente afectar la existencia de la Decisin Marco. A lo largo de los aos, los instrumentos especficos de proteccin de datos han estado construyendo diferentes estructuras para vigilar la implementacin de la norma de proteccin de datos en esta rea. Por ejemplo, para la Europol, la cual es la agencia de inteligencia criminal, la supervisin de la proteccin de datos est en manos de la Autoridad Comn de Control de Europol.427 En el contexto de Eurojust, cuyo objetivo es mejorar las investigaciones y el procesamiento en toda la UE, la vigilancia de la proteccin de datos es responsabilidad de la Autoridad Conjunta de Control de Eurojust.428
143
de seguridad, tales como contraterrorismo y objetivos vinculados a la creacin de un rea sin fronteras internas (el rea "Schengen") y a veces en relacin a un objetivo impreciso, que de alguna manera engloba objetivos de seguridad y otras preocupaciones, tales como la de inmigracin. Es su panorama de 2010, la Comisin Europea admiti que dos recientes sistemas informticos de gran magnitud, el Sistema de Informacin de Visados (VIS, en ingls), el cual sirve para almacenar datos biomtricos de postulantes a una visa y el Sistema de Informacin de Schengen (SIS), as como su prximo sucesor, Sistema de Informacin de Schengen de segunda generacin (SIS II), no respetan uno de los principios fundamentales de la proteccin de datos en la UE, a saber, el principio de finalidad limitada.430 Otros sistemas de informacin existentes de gran magnitud en la UE incluyen a Eurodac, establecido por el Reglamento del Consejo 2725/2000,431 el cual es una base de datos para almacenar las impresiones dactilares de quienes buscan asilo (el sistema est inspeccionado por el Supervisor Europeo de Proteccin de Datos conjuntamente con las pertinentes Autoridades Nacionales de Proteccin de Datos.432 Entre las iniciativas de la UE que podran surgir en relacin al tratamiento de personas en trnsito, puede mencionarse la creacin del llamado "Sistema de Registro de las Entradas y Salidas" (EES),433 un sistema de informacin que se espera registre la hora y lugar de entrada, as como el periodo de tiempo de una estada autorizada, de todos los nacionales de terceros pases que ingresen al rea Schengen para fines de control de inmigracin y un Sistema Electrnico de Autorizacin de Viaje (ESTA, en ingls) para la obtencin de datos de nacionales de terceros pases que no estn sujetos al requisito de visa antes de su llegada a las fronteras de la UE.434 El Sistema de Informacin Aduanero (CIS, en ingls) fue establecido en 1995 por la Convencin del antiguo tercer pilar sobre el uso de la tecnologa de la informacin para efectos aduaneros.435 La meta del Sistema de Informacin Aduanero es permitir a los servicios de aduanas nacionales intercambiar y diseminar informacin sobre actividades de contrabando y pedidos de accin al respecto. Algunas de estas informaciones son datos personales. Una Autoridad Supervisora Comn compuesta por las Autoridades de
Id., en la pgina 24. Reglamento del Consejo (CE) No. 2725/2000 del 11 de diciembre de 2000, relativa a la creacin del sistema 'Eurodac' para la comparacin de las impresiones dactilares para la aplicacin efectiva del Convenio de Dubln, Diario Oficial L 316, 15 de diciembre de 2000. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000R2725:ES:HTML>. 432 Reglamento del Consejo (CE) No. 407/2002 del 28 de febrero de 2002 por el que se establecen determinadas normas de desarrollo del Reglamento (CE) No 2725/2000 relativo a la creacin del sistema 'Eurodac' para la comparacin de las impresiones dactilares para la aplicacin efectiva del Convenio de Dubln, Diario Oficial L 62, 5 de marzo de 2002, pginas 1-5. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:062:0001:0005:ES:PDF>. 433 Comisin Europea, Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de las Regiones: Preparacin de los prximos pasos en la gestin de fronteras de la Unin Europea, COM(2008) 69 final, 13 de febrero de 2008, Bruselas, pgina 8. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0069:FIN:ES:PDF>. 434 Id., pgina 6. 435 Convenio establecido sobre la base del Artculo K.3 del Tratado de la Unin Europea, relativo a la utilizacin de la tecnologa de la informacin a efectos aduaneros, DO C 316, 27 de noviembre de 1995, pginas 34-47. En 1997, Reglamento del Consejo (CE) No. 515/97 del 13 de marzo de 1997 tambin estableci el Sistema de Informacin Aduanero con el fines de asistencia mutua con relacin a materias aduaneras y agrarias. Ver DO, L 082, 22 de marzo de 1997, pginas 1-16. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1997:082:0001:0016:ES:PDF>.
431 430
144
Proteccin de Datos de los Estados Miembros es responsable de la supervisin del Sistema de Informacin Aduanero. Con objeto de mejorar el intercambio de datos personales dentro de la UE y entre las fuerzas del orden de los Estados Miembros, se han hechos distintos esfuerzos en los ltimos aos para crear "interoperatibilidad" entre las bases de datos.436 La "interoperatibilidad", es decir, la disolucin de las fronteras entre las bases de datos establecidas para diferentes propsitos, que contienen informacin sobre diferentes categoras de personas, accedidas por distintos tipos de autoridades y operadas con mtodos diferentes, presentan una seria amenaza a los bien establecidos principios de proteccin de datos de finalidad limitada y al de proporcionalidad. Las instituciones de la UE tambin estn considerando la creacin de una nueva agencia, posiblemente llamada Agencia para la Gestin Operativa de Sistemas Informticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia,437 para que se haga cargo de la gestin operativa del SIS II, VIS, Eurodac y cualquier otro sistema informtico de gran magnitud establecido en el espacio de libertad, seguridad y justicia. Los intercambios de tratamiento de datos en la UE tambin se dan a travs de canales que nos requieren el establecimiento de ninguna base de datos nueva. En el 2005, siete Estados Miembros438 suscribieron un tratado en Prm para mejorar la cooperacin transfronteriza de carcter policial y judicial, especialmente con relacin al combate al terrorismo, los delitos transfronterizos y la migracin ilegal. Bajo el Tratado, los Estados Miembros se otorgan entre ellos derechos de acceso a sus archivos automatizados de anlisis de ADN, sistemas automatizados de identificacin a travs de impresiones digitales y datos de registro de vehculos. En el 2006, Alemania y Austria se convirtieron en los primeros pases en el mundo en emparejar sus bases de datos de ADN.439 Las disposiciones del Tratado de Prm han sido desde entonces integradas en el marco legal de la UE.440
Segn la Comunicacin de la Comisin al Consejo y al Parlamento Europeo sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el mbito de la Justicia y los Asuntos de Interior (COM/2005/0597 final), Bruselas, 24 de noviembre de 2005, "interoperatividad" es la "capacidad para compartir e intercambiar informacin y conocimientos de los sistemas de tecnologas de la informacin y las comunicaciones (TIC) y de los procesos empresariales en que se basan". Lamentablemente la Comisin consider a la "interoperatividad" como "un concepto tcnico ms que jurdico o poltico. No est vinculado a la cuestin de si el intercambio de datos es legal o polticamente posible o necesario". Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0597:FIN:ES:HTML>. 437 Comisin Europea, Propuesta Modificada del Reglamento (UE) No ... / ... del Parlamento Europeo y del Consejo por el que se crea una Agencia para la gestin operativa de sistemas informticos de gran magnitud en el espacio de libertad, seguridad y justicia, COM(2010) 93 final, 19 de marzo de 2010, Bruselas. Disponible en <http://www.europarl.europa.eu/meetdocs/2009_2014/documents/com/com_com%282010%290093_/co m_com%282010%290093_es.pdf>. 438 Austria, Blgica, Francia, Alemania, Luxemburgo, Espaa, y los Pases Bajos. 439 "The Treaty of Prm Makes Europe Safer - EU Police Forces Share Data," Ministerio del Interior de Alemania, 15 de marzo de 2007, en <http://www.eu2007.bmi.bund.de/nn_1059824/EU2007/EN/DomesticPolicyGoals/News/Content__News /Hanning__dbb.html>. 440 Ver la Decisin del Consejo 2008/615/JAI del 23 de junio de 2008 sobre la profundizacin de la cooperacin transfronteriza, en particular en material de lucha contra el terrorismo y la delincuencia transfronteriza, DO L 210, 6 de agosto de 2008, pginas 1-11. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0001:0011:ES:PDF>.
436
145
Otro instrumento legal de la UE que promueve el intercambio de informacin entre importantes autoridades de las fuerzas del orden es la Decisin Marco 2006/960/JAI. La Decisin Marco establece un rgimen regulatorio bajo el cual a las autoridades de las fuerzas del orden de los Estados Miembros se les permite, entre ellos, un intercambio "eficaz y rpido" (pero tambin con Europol y Eurojust) de "informacin y/o inteligencia disponibles para llevar a cabo investigaciones criminales u operaciones de inteligencia criminal".441 Los esfuerzos para impulsar el intercambio de datos personales en el contexto de asistencia legal mutua en materia penal en la UE tambin se ha enfocado en facilitar el intercambio de registros de antecedentes penales entre autoridades nacionales. La recientemente adoptada Decisin Marco 2009/315/JAI relativa a la organizacin y al contenido del intercambio de informacin de los registros de antecedentes penales entre los Estados Miembros442 apunta a definir las modalidades en las cuales un Estado Miembro donde se decide una condena contra un nacional de otro Estado Miembro transmite la informacin de dicha condena al Estado Miembro de la nacionalidad de la persona condenada. Sobre la base de la anteriormente mencionada Decisin Marco, el Consejo adopt la Decisin 2009/316/JAI por la que se establece el Sistema Europeo de Informacin de Antecedentes Penales (ECRIS, en ingls).443 En su diseo, ECRIS es un sistema descentralizado de tecnologa de la informacin basado en las bases de datos de registros de antecedentes penales nacionales. Todos los datos de registros de antecedentes penales deben estar almacenados nicamente en bases de datos operadas por los Estados Miembros. Los Estados Miembros deben consumar las medidas necesarias para cumplir con las disposiciones de ambos instrumentos legales mencionados anteriormente para abril de 2012. En los ltimos aos las instituciones de la UE han estado apoyando enrgicamente el incremento de la vigilancia en las fronteras fsicas de la UE. stas han establecido Eurosur, un marco tcnico de vigilancia de fronteras orientado a la mejora de la seguridad fronteriza a travs del intercambio de datos y la coordinacin de actividades,444 y de Frontex, la Agencia Europea para la Gestin de la Cooperacin Operativa en las Fronteras Exteriores, creada445 para coordinar las operaciones de
Ver tambin la Decisin del Consejo 2008/616/JAI del 23 de junio de 2008 relativa a la ejecucin de la Decisin 2008/615/JAI, DO L 210, 6 de agosto de 2008, pginas 1272. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0012:0072:ES:PDF>. 441 Decisin Marco del Consejo 2006/960/JAI del 18 de diciembre de 2006 sobre la simplificacin del intercambio de informacin e inteligencia entre los servicios de seguridad de los Estados Miembros de la Unin Europea, DO L 386 29 de diciembre de 2006, pginas 89-100. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:386:0089:0100:ES:PDF>. 442 Decisin Marco del Consejo 2009/315/JAI del 26 de febrero de 2009 relativa a la organizacin y al contenido del intercambio de informacin de los registros de antecedentes penales entre los Estados Miembros, DO L 93, 7 de abril de 2009, pginas 2332. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0023:0032:ES:PDF>. 443 Decisin del Consejo 2009/316/JIA del 6 de abril de 2009 por la que se establece el Sistema Europeo de Informacin de Antecedentes Penales (ECRIS) en aplicacin del artculo 11 de la Decisin Marco 2009/315/JAI, DO L93, 7 de abril de 2009, pginas 33-47. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0033:0048:ES:PDF>. 444 Comisin Europea, Comunicacin de la Comisin al Consejo, al Parlamento Europeo, al Comit Econmico y Social Europeo y al Comit de las Regiones: Examen de la creacin de un sistema europeo de vigilancia de fronteras (EUROSUR), COM(2008) 68 final, 13 de febrero de 2008, Bruselas. Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0068:FIN:ES:PDF>. 445 Reglamento del Consejo (CE) No. 2007/2004 del 26 de octubre de 2004 por el que se crea una Agencia Europea para la gestin de la cooperacin operativa en las fronteras exteriores de los Estados
146
vigilancia de controles fronterizos. La posibilidad de que Frontex procese datos personales, y en particular que los transmita a Europol, esta debatindose cada vez ms. En la UE la obtencin, anlisis e intercambio de informacin personal para propsitos de cumplimiento de la ley y de seguridad tambin involucra las actividades del sector privado. La llamada "privatizacin de las actividades de represin" consiste en instar a organizaciones privadas (empresariales o profesionales) para cooperar con las autoridades del Estado en la prevencin o combate a las actividades criminales como el terrorismo. Esta cooperacin se da de distintas formas: conservacin de datos de comunicaciones,446 intercambio de los registros de nombres de pasajeros447 y la recoleccin de informacin de parte de entidades privadas financieras o de otro tipo con propsitos de combatir el blanqueo de capitales. Con relacin a este tipo de cooperacin, la Directiva 2005/60/CE busca prevenir el uso del sistema financiero con el propsito de realizar blanqueo de capitales y para la financiacin del terrorismo.448 sta se aplica a instituciones crediticias y financieras, as como a ciertas personas jurdicas y naturales que trabajan en el sector financiero. A stas entidades se les exige identificar al cliente y verificar su identidad, obtener informacin sobre el propsito y la intencin de la relacin de negocios. Adems, stas deben completar un informe de transaccin sospechosa cuando haya sospecha de blanqueo de capitales o financiamiento del terrorismo, sin importar cualquier excepcin o umbral.449 stos informes de transacciones sospechosas se transmiten y procesan por las Unidades de Inteligencia Financiera que son usualmente parte de las fuerzas del orden o de organismos administrativos que informan a los Ministerios de Finanzas. Estos informes pueden ser transmitidos a las autoridades competentes, entre ellas las fuerzas del orden y a Unidades de Inteligencia Financiera extranjeras. Sobre esa base las investigaciones penales pueden ser iniciadas si es necesario. Estas formas de vigilancia que hacen uso de informacin en manos del sector privado involucran la obtencin, almacenamiento e intercambio con autoridades nacionales de una amplia categora de datos de carcter general generados por las personas en su vida diaria y en su mayora en la realizacin de actividades legtimas. El Programa de Estocolmo,450 el documento de poltica que orienta el desarrollo de un Espacio de Libertad, Seguridad y Justicia para el periodo 2010-2014, confirma la tendencia hacia un refuerzo de las prcticas de tratamiento de datos, al tiempo que se ocupan de la interaccin entre las tcnicas intrusivas privadas y la necesidad de proteger el derecho a la vida privada y a la proteccin de datos.451 El Programa en especial hace
Miembros de la Unin Europea, DO L 349, 25 de noviembre de 2004, pginas 111. Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:349:0001:0011:ES:PDF>. 446 Cfr. Seccin "The Data Retention Directive," supra. 447 Cfr. infra esta Seccin y la Seccin de "The PNR Data Exchange Agreements". 448 Directiva 2005/60/CE del Parlamento Europeo y del Consejo del 26 de octubre de 2005 relativa a la prevencin de la utilizacin del sistema financiero para el blanqueo de capitales y para la financiacin del terrorismo, DO L 309, 25 de noviembre de 2005, pginas 15-36. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:309:0015:0036:ES:PDF>. Ver tambin la Decisin del Consejo del 17 de octubre de 2000 relativo a los acuerdos para la cooperacin entre las unidades de inteligencia financiera de los Estados Miembros con respecto al intercambio de informacin, DO L 271, 24 de octubre de 2000, pginas 4-6. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:271:0001:0003:ES:PDF>. 449 Id. 450 El Programa de Estocolmo Una Europa abierta y segura que sirva y proteja al ciudadano, DO C 115, 4 de mayo de 2010. El Programa surgi en noviembre de 2009. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:es:PDF>. 451 Id., pgina 18.
147
un llamado para el desarrollo de una Estrategia Interna de Seguridad (con su propia dimensin externa), lo que genera un amplio uso de gestin e intercambio de informacin, basado en una Estrategia de Gestin de Informacin apuntalada por el principio de disponibilidad452 y aquel de interoperabilidad,453 es decir, la posibilidad tcnica de unir bases de datos. Entre otros, el Programa de Estocolmo sugiere restituir el proyecto para un sistema de Registro de Nombres de los Pasajeros (PNR, en ingls) para toda la UE con fines represivos.454 ste sistema permitira la recoleccin de datos registrados durante la compra de boletos de avin ("datos de Registro de Nombres de los Pasajeros (PNR)")455 de pasajeros de vuelos internacionales de lneas areas por parte de las autoridades nacionales designadas por los Estados Miembros, llamadas Unidades de Informacin sobre Pasajeros (PIUs, en ingls). Las unidades de Informacin sobre Pasajeros utilizaran los datos del Registro de Nombres de los Pasajeros, entre otras cosas, para "proceder a hacer una evaluacin de riesgo que puedan entraar los pasajeros con objeto de identificar a las personas que requieran un examen ms detallado".456 La Agencia de Derechos Fundamentales de la Unin Europea (FRA, en ingls),457 el Supervisor Europeo de Proteccin de Datos (EDPS)458 y el GT29459 han emitido opiniones crticas sobre el posible establecimiento de este sistema.
Ver el Programa de la Haya, DO C 53, 3 de marzo de 2005, pgina 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2005:053:0001:0014:ES:PDF>. Ver tambin Supervisor Europeo de Proteccin de Datos, Dictamen sobre la propuesta de Decisin Marco del Consejo sobre el intercambio de informacin en virtud del principio de disponibilidad (COM (2005)490 final), 28 de febrero de 2006, DO C 116, 17 de mayo de 2006, pgina 8. El principio de disponibilidad se refiere a la posibilidad de que los oficiales de las fuerzas del orden de un Estado Miembro obtengan informacin de las fuerzas del orden de otro Estado Miembro en las mismas condiciones en las que lo hacen los oficiales de las fuerzas armadas en ese ltimo Estado Miembro. 453 Ver supra en el texto. 454 La idea avanz en conjunto con el inicio de las negociaciones con los Estados Unidos de Amrica para concluir el primer Acuerdo de intercambio de registros de nombres de pasajeros (ver ms adelante) (Comisin Europea, Comunicacin de la Comisin al Consejo y al Parlamento Europeo: Transferencia de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unin Europea, COM(2003) 826 final, 16 de diciembre de 2003, Bruselas) Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>. No obstante, una propuesta concreta solo se present cuatro aos despus (Comisin Europea, Propuesta de Decisin Marco del Consejo sobre la utilizacin de datos del registro de nombres de los pasajeros (Passenger Name Record-PNR) con fines represivos {SEC(2007) 1422} {SEC(2007) 1453} /* COM/2007/0654 final). Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0654:FIN:ES:PDF>. 455 Los Registros de Nombres de los Pasajeros (PNR, en ingls) son diferentes de los datos del Sistema de Informacin Anticipada sobre Pasajeros (API, en ingls), la cual es informacin contenida en la Zona Legible por Mquina (MRZ, en ingls) de los pasaportes. Los datos de los registros de nombres de los pasajeros pueden contener hasta 60 campos, que se sobreponen parcialmente pero que exceden los datos recogidos por el Sistema de Informacin Anticipada sobre Pasajeros, y que no son datos oficiales verificados. 456 Comisin Europea, Propuesta de Decisin Marco del Consejo sobre utilizacin de datos del registro de nombre de los pasajeros (Passenger Name Record PNR) con fines represivos, supra en el Art. 3.3. 457 Dictamen de la Agencia de Derechos Fundamentales de la Unin Europea acerca de la propuesta para una Decisin Marco del Consejo sobre utilizacin de datos de los registros de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos, 28 de octubre de 2008. Disponible en <http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf>. 458 Supervisor Europeo de Proteccin de Datos (EDPS), Dictamen acerca de la propuesta de Decisin Marco del Consejo sobre utilizacin de datos del registro de nombre de los pasajeros (Passenger Name Record PNR) con fines represivos, 20 de diciembre de 2007, DO C 110, 01 de mayo de 2008, pgina 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:110:0001:0015:ES:PDF>.
452
148
149
obtener opiniones con vista a un futuro acuerdo internacional UE-E.U.A. sobre proteccin de datos personales e intercambio de informacin con fines represivos,464 poniendo en movimiento el debate institucional sobre el tema a nivel de la UE. Uno de los retos principales surgidos de estos eventos es el nivel de equivalencia entre los marcos institucionales de la UE y de los E.U.A. Otro reto clave es cmo gobernar este acuerdo otros y futuros mecanismos de intercambio de informacin entre la UE y los E.U.A., tales como aquellos vinculados al tratamiento de datos con fines de seguridad en los E.U.A. a partir de datos originales obtenidos en la UE por parte de entidades privadas, en el contexto de actividades no relacionadas por ejemplo en el contexto de los Registros de Nombre de los Pasajeros (PNR) o en las llamadas transferencias de datos de SWIFT.465
LOS ACUERDOS DE INTERCAMBIO DE DATOS DE LOS REGISTROS DE NOMBRE DE LOS PASAJEROS (PNR) 466
En el 2001 el Gobierno de los E.U.A. empez a exigir acceso a los sistemas de reserva de empresas areas extranjeras con el fin de tener acceso a los Registros de Nombre de Pasajeros, esto es, informacin biogrfica detallada y de inteligencia sobre los pasajeros.467 El cumplimiento de la solicitud requerira que las aerolneas violaran la ley de proteccin de datos de la UE, mientras que el no cumplimiento podra haber conducido a sanciones econmicas de parte del Gobierno de los E.U.A. Luego de la intervencin de la Comisin Europea, se iniciaron las negociaciones entre la UE y los E.U.A. sobre cmo concordar los dos sistemas legales.468 Un primer acuerdo469 se finaliz y suscribi en mayo de 2004, acompaado de una Decisin del Consejo relativa a la celebracin del acuerdo sobre el tratamiento y la
y Seguridad"), adoptado en Washington D.C. el 28 de octubre de 2009, pgina 6, disponible en <http://www.regeringen.se/content/1/c6/13/43/59/8542bc06.pdf>. 464 Los resultados de la consulta estn disponibles en <http://ec.europa.eu/justice/news/consulting_public/news_consulting_0005_en.htm>. 465 Otro tema vinculado es la relacin entre el acuerdo y los acuerdos negociados entre los EE.UU. y los Estados Miembros de la UE. 466 Todos los documentos pertinentes estn disponibles en el sitio web de la Comisin, bajo el ttulo de "US United States - Transfer of Air Passenger Name Record (PNR) Data," (EE.UU. Estados Unidos Transferencia de datos de los registros de nombre de los pasajeros (PNR)) en <http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm#countries>. 467 De manera ms concreta, por medio de la Seccin 15 de la Ley de Seguridad de Aviacin y Transporte de los Estados Unidos (ATSA) (Los Estados Unidos, el Congreso, la Ley de Seguridad de Aviacin y Transporte, 19 de noviembre de 2001). En el 2001, la Oficina de Aduanas y Proteccin Fronteriza empez a exigir a las empresas areas internacionales que operaban vuelos desde y hacia, o dentro de territorio de los Estados Unidos, otorgarles acceso a los datos de sus sistemas de reserva automatizado y de control de despegue para obtener datos de Registros de Nombre de Pasajeros. 468 Comisin Europea, Comunicacin de la Comisin al Consejo y al Parlamento Europeo: Transferencia de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unin Europea, COM(2003) 826 final, 16 de diciembre de 2003, Bruselas. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>. 469 Acuerdo entre la Comunidad Europea y los Estados unidos de Amrica sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compaas areas al departamento de seguridad nacional, oficina de aduanas y proteccin de fronteras, de los Estados Unidos, DO L 183, 20 de mayo de 2004, pginas 8485. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0084:0085:ES:PDF>.
150
transferencia de datos personales470 y, basada en las gestiones de la Oficina de Aduanas y Proteccin Fronteriza471 y una Decisin de la Comisin Europea sobre la proteccin adecuada de dichos datos.472 Dado que a los E.U.A. se le permiti acceder directamente a los sistemas de reserva de las compaas areas para "jalar" los datos necesarios. El acuerdo se alcanz entre las dudas y las crticas de los defensores de la privacidad, especialmente del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de los reguladores de la privacidad europeos,473 y por distintas razones, de las compaas areas. El Parlamento Europeo expres su crtica adoptando una resolucin y presentando dos acciones de anulacin ante el Tribunal de Justicia de la Unin Europea (ECJ)474 contra
Decisin del Consejo 2004/496/CE del 17 de mayo de 2004 relativo a la celebracin del Acuerdo entre la Comunidad Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compaas areas al Departamento de seguridad nacional, oficina de aduanas y proteccin de fronteras, de los Estados Unidos, DO L 183, 20 de mayo de 2004, pginas 8385. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0083:0083:ES:PDF>. 471 Carta del Comisionado Bolkestein al Secretario Tom Ridge de los Estados Unidos de Amrica, Departamento de Seguridad Interna, 18 de diciembre de 2003. 472 Decisin de la Comisin 2004/535/CE del 14 de mayo de 2004 relativa al carcter adecuado de la proteccin de datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de Aduanas y Proteccin de Fronteras de los Estados Unidos (Bureau of Customs and Border Protection) (notificada con el nmero C(2004) 1914), DO L 235, 6 de julio de 2004, pginas 1122. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:235:0011:0022:ES:PDF>. 473 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 6/2002 relativo a la transmisin de listas de pasajeros y otros datos de compaas areas a los Estados Unidos, 24 de octubre de 2002, WP 66 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp66_es.pdf>); Dictamen 4/2003 del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, 13 de junio de 2003, WP 78; Dictamen 2/2004 sobre el carcter adecuado de la proteccin de datos personales incluidos en los registros de nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren al Servicio de Aduanas y Proteccin de Fronteras de Estados Unidos (Bureau of Customs and Border Protection) (US CBP), WP 87 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp78_es.pdf>); Dictamen 6/2004 relativo a la implementacin de la decisin de la Comisin del 14-V-2004 relativa a la adecuada proteccin de datos personales contenidos en los registros de nombres de los pasajeros (Passenger Name Records PNR) de pasajeros areos transferidos al Servicio de Aduanas y Proteccin de Fronteras de los Estados Unidos de Amrica, y del Acuerdo entre la Comunidad Europea y los Estados Unidos sobre tratamiento y transferencia de datos de los registros de nombres de los pasajeros (PNR) por parte de compaas areas al Departamento de Seguridad Interior de los Estados Unidos de Amrica, Servicio de Aduanas y Proteccin de Fronteras, 22 de junio de 2004, WP 95 2 de febrero de 2004; Dictamen 8/2004 sobre la informacin a los pasajeros relativa a la transferencia de datos PNR sobre los vuelos entre la Unin Europea y los Estados Unidos de Amrica, WP 97, 30 de septiembre de 2004 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp97_es.pdf>). Las crticas del Grupo de Trabajo del Artculo 29 relativas al primer acuerdo giraron en torno a la proporcionalidad de la medida comparada con sus propsitos, los retos para los principios de proteccin de datos, las caractersticas tcnicas de los intercambios (en particular, este consider que el intercambio de la informacin debe ocurrir por medio de una "empujar" en vez de por medio de un "jalar", es decir, por medio de una solicitud a las compaas areas para que enven a los Estados Unidos de Amrica los datos solicitados, en vez de permitir a los Estados Unidos de Amrica extraer los datos que necesite (lo cual reduce consistentemente la posibilidad de supervisin)) y la opcin de un marco legal para el intercambio. 474 Tribunal de Justicia de la Unin Europea Gran Sala, Asuntos acumulados C-317/04 y C-318/04, Parlamento Europeo contra Consejo de la Unin Europea (C-317/04) y Comisin de las Comunidades Europeas (C-318/04), Sentencia del 30 de mayo de 2006. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>.
470
151
el Consejo y la Decisin de la comisin que permite la adopcin del Acuerdo.475 El Tribunal de Justicia de la Unin Europea (ECJ) no consider todos los alegatos del Parlamento Europeo, pero anul las dos Decisiones con base en que estas fueron adoptadas sobre bases legales errneas. Dado que buscaban un objetivo dentro del alcance de "las reas del Derecho Penal relativas a la seguridad pblica y las actividades del Estado", la eleccin de la base legal del primer pilar fue incorrecta.476 El Tribunal de Justicia de la Unin Europea (ECJ) fij una fecha lmite (septiembre de 2006) para la adopcin de un nuevo acuerdo. Dada la ajustada fecha lmite fijada por el Tribunal, las partes entraron en negociaciones para un Acuerdo Temporal,477 suscrito en octubre de 2006.478 El nuevo texto479 no difiere sustancialmente del primero y fue recibido con renovadas crticas y una mayor conciencia. Un tercer Acuerdo fue suscrito dentro de los lmites de tiempo establecidos por la clusula de suspensin en el Acuerdo Temporal.480 Este consista de un acuerdo internacional481 suscrito por ambas partes, y dos cartas, cuya relacin jurdica con el
En particular, en el Caso C-317/04, el Parlamento Europeo invoc seis motivos de anulacin: la eleccin errnea del Artculo 95 CE como base jurdica para la Decisin 2004/496, la infraccin del artculo 300 CE, apartado 3, prrafo segundo y del artculo 8 del CEDH y en la violacin del principio de proporcionalidad, de la exigencia de motivacin y del principio de cooperacin leal. En el Caso 318/04 el Parlamento Europeo invoc cuatro motivos de anulacin, violacin del principio de legalidad, de los principios bsicos de la Directiva 95/46/CE, de los derechos fundamentales, y del principio de proporcionalidad. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>. 476 El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 5/2006 sobre la sentencia del Tribunal Europeo de Justicia de 30 de Mayo de 2006 de los asuntos acumulados C-317/04 y C-318/04 sobre la transmisin de los registros de nombres de pasajeros a los Estados Unidos, 14 de junio de 2006, WP 122. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp122_es.pdf>. Dictamen 7/2006 sobre la sentencia del Tribunal de Justicia de las Comunidades Europeas del 30 de mayo de 2006 en los asuntos acumulados C-317/04 y C-318/04 relativa a la transferencia a los EE.UU. de datos de los expedientes de los pasajeros y la urgente necesidad de un nuevo acuerdo, 27 de septiembre de 2006, WP 124. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp124_es.pdf>. 477 Decisin del Consejo 2006/729/CFSP/JHA del 16 de octubre de 2006 relativo a la firma, a nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el procesamiento y la transferencia de los expedientes de los pasajeros (datos PNR) por las compaas areas al Departamento de Seguridad Nacional de los Estados Unidos de Amrica, OJ L 298, 27 de octubre de 2006, pginas 2728. 478 Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos, DO L 298, 27 de octubre de 2006, pginas 2931. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:298:0029:0031:ES:PDF>. 479 El cual contiene una clausula de suspensin y fue acompaada de dos cartas (Carta del "Departamento de Seguridad Nacional" (interpretaciones de los PNR); Respuesta del Presidente del Consejo y de la Comisin a la carta del Departamento de Seguridad Nacional de los Estados Unidos). 480 Decisin del Consejo 2007/551/CFSP/JHA del 23 de julio de 2007 relativa a la firma, en nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007), DO L 204, 4 de agosto de 2007, pginas 1617. 481 Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007) DO L 204, 4 de agosto de 2007, pginas 1825. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>.
475
152
acuerdo no fue aclarada.482 Aunque el nuevo texto se ocupa de algunas de las preocupaciones sustanciales surgidas en los diferentes organismos de la UE desde el inicio de los intercambios de datos,483 este no fue inmune a las crticas.484 Desde la entrada en vigor del Tratado de Lisboa han habido enrgicas exigencias para adoptar un nuevo acuerdo. Debe notarse que la UE tambin ha suscrito acuerdos de intercambio de Registros de Nombres de Pasajeros (PNR) con otros pases, tales como Australia.485
153
Las autoridades de la UE ingresaron en negociaciones transatlnticas para regular el acceso y el procesamiento de los datos bancarios de los ciudadanos de la UE. Como resultado de ello, los Estados Miembros de la UE tambin podran tener acceso al resultado de las actividades de tratamiento realizadas por las autoridades de los Estados Unidos de Amrica. En espera de un acuerdo internacional, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) se adhiri al Acuerdo de Puerto Seguro y adopt una nueva "arquitectura distribuida", permitiendo que los mensajes dentro de Europa sean procesados y almacenados en los centros de datos de Europa. Adems, el Departamento del Tesoro de los Estados Unidos de Amrica aclar temas vinculados a su acceso y procesamiento de datos obtenidos por la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) y ofreci garantas. Como resultado de ello se suscribi un acuerdo temporal en noviembre de 2009488 con el objetivo explcito de negociar un acuerdo apropiado despus de la entrada en vigor del Tratado de Lisboa.489 El Parlamento Europeo, al que el Tratado de Lisboa le ha otorgado nuevos poderes en relacin con los acuerdos internacionales, vot en contra del acuerdo en febrero de 2010490 motivado por la insuficiente proteccin de datos en el acuerdo, una preocupacin tambin expresada por el Supervisor Europeo de Proteccin de Datos (EDPS, en ingls). 491 En consecuencia, se iniciaron nuevas negociaciones y un Proyecto de Decisin del Consejo fue remitido en junio de 2010.492 Aunque se han reconocido las mejoras realizadas, el Consejo no ha podido convencer a sus crticos, entre ellos al
07/07-02-01_Opinion_ECB_role_SWIFT_EN.pdf>; Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial Telecommunication SWIFT), WP 128, 22 de noviembre de 2006. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>. 488 Simon Taylor, "EU Agrees New Bank Data Deal with US," European Voice, 30 de noviembre de 2009 disponible en <http://www.europeanvoice.com/article/2009/11/eu-agrees-new-bank-data-deal-withus/66563.aspx>. 489 Decisin del Consejo 2010/16/PESC/JAI del 30 de noviembre de 2009 relativa a la firma, en nombre de la Unin Europea, del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo, DO L 8, 13 de enero de 2010, pginas 9-10. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:008:0009:0010:ES:PDF>. 490 Parlamento Europeo Nota de Prensa, SWIFT: el Parlamento Europeo rechaza el acuerdo con Estados Unidos, Justicia y Asuntos de interior, 15 de febrero de 2010, disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+IMPRESS+20100209IPR68674+0+DOC+XML+V0//ES>. 491 Supervisor Europeo de Proteccin de Datos (EDPS), Comentarios sobre distintos acuerdos internacionales, en particular los acuerdos UE-EE.UU. y el acuerdo UE-AUS sobre PNR, el acuerdo UEEE.UU. relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (acuerdo TFTP, en ingls), y la necesidad de un enfoque integral para los acuerdos internacionales de intercambio de datos, 25 de enero de 2010. Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2010/10-01-25_EU_US_data_exchange_EN.pdf>. 492 Propuesta para una Decisin del Consejo sobre la conclusin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativa al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (TFTP II, en ingls), 28 de junio de 2010. Disponible en <http://register.consilium.europa.eu/pdf/en/10/st11/st11580.en10.pdf>.
154
Supervisor Europeo de Proteccin de Datos493 al GT29 junto con el Grupo de Trabajo sobre Polica y Justicia494 y algunos Miembros del Parlamento Europeo (MEPs, en ingls).495 A pesar de ello, el Parlamento Europeo hall que el acuerdo final en combinacin con los compromisos legalmente vinculantes en la Decisin del Consejo cumple con la mayora de sus exigencias y por tanto dio el consentimiento para la conclusin del acuerdo el 5 de julio de 2010.496
Supervisor Europeo de Proteccin de Datos (EDPS), Dictamen del 22 de junio de 2010 sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (TFTP II). Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2 010/10-06-22_Opinion_TFTP_ES.pdf. 494 Grupo de Trabajo sobre Proteccin de Datos del Articulo 29 y el Grupo de Trabajo sobre Polica y Justicia, Carta del Sr. Jacob Kohnstamn, Presidente del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 y el Sr. Francesco Pizzetti, Presidente del Grupo de Trabajo sobre Polica y Justicia dirigida al Sr. Juan Fernando Lpez Aguilar, Presidente de la Comisin de Libertades Civiles, Justicia y Asuntos de Interior (LIBE Committee) en relacin al Acuerdo UE-EE.UU. del Programa de Seguimiento de la Financiacin del Terrorismo (Acuerdo TFTP II), 25de junio de 2010. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2010_06_25_letter_to_libe_en.pdf>. 495 Ver la Recomendacin sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (11222/1/2010/REV 1 y COR 1 C70158/2010 2010/0178(NLE)) Comisin de Libertades Civiles, Justicia y Asuntos de Interior, Opinin Minoritaria, pgina 11. Disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=//EP//NONSGML+REPORT+A7-2010-0224+0+DOC+PDF+V0//ES>. 496 Id., Proyecto de Resolucin Legislativa del Parlamento Europeo sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (11222/1/2010/REV 1 y COR 1 C7-0158/2010 2010/0178(NLE)), pginas 5-9. Disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-20100224+0+DOC+PDF+V0//ES>. 497 Ver la pgina web del Supervisor Europeo de Proteccin de Datos (EDPS) en <http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=es>.
493
155
Ver <http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm>. Tales como derechos de propiedad intelectual, identificacin por radiofrecuencia (RFID), video vigilancia, normas corporativas vinculantes, historias clnicas electrnicas y ms recientemente sobre la proteccin de datos de carcter personal de los nios. Se pueden realizar consultas en lnea al Grupo de Trabajo del Artculo 29 ("GT29") en <http://ec.europa.eu/justice/policies/privacy/workinggroup/consultations/index_en.htm>. 500 Los documentos adoptados por el GT29 estn disponibles en <http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2010_en.htm>.
499 498
156
de escneres de cuerpo entero para seguridad aeroportuaria y el futuro de la privacidad y la proteccin de datos en Europa. Las Autoridades de Proteccin de Datos de Europa Central y Oriental (CEEDPA, en ingls): en el 2001, los Comisionados de Proteccin de Datos de la Repblica Checa, Hungra, Lituania, Eslovaquia, Estonia, Letonia y Polonia suscribieron una declaracin conjunta acordando tener una cooperacin y asistencia estrechas.501 Desde entonces a estos pases se les han unido Bulgaria, Rumania, Croacia y Macedonia. La 12da Reunin de los Comisionados de Proteccin de Datos de Europa Central y Oriental se realiz en Mayo de 2010 en Sopot (Polonia) y a ella concurrieron delegaciones de Albania y Moldavia.
157
con el Consejo de Europa, para evitar la duplicacin del trabajo, pero tambin para con los Estados Miembros y la sociedad civil.507
EL CONSEJO DE EUROPA
El Consejo de Europa es distinto de la UE. En 1950 el Consejo de Europa adopt la Convencin Europea de Derechos Humanos, la cual es actualmente aplicable en todos los Estados Miembros de la UE.508 El Artculo 8 prrafo 1 de la Convencin Europea de Derechos Humanos (ECHR) declara que todos tienen derecho al respeto a su vida privada y familiar, su hogar y su correspondencia.509 El Prrafo 2 dispone que el derecho mencionado anteriormente no es absoluto en el sentido de que puede ser aceptable para las autoridades pblicas limitarlo cuando la "interferencia" esta "de acuerdo a ley" y es "necesaria en una sociedad democrtica" en la bsqueda de uno o ms de los siguientes objetivos legtimos: "en aras de la seguridad nacional, la seguridad pblica o el bienestar econmico del pas, para la prevencin del desorden o del crimen, para la proteccin de la salud o de la moral o para la proteccin de los derechos y libertades de otros." El Tribunal Europeo de Derechos Humanos (ECHR, en ingls), con sede en Estrasburgo, es el intrprete supremo de la Convencin Europea de Derechos Humanos (ECHR). En todos estos aos ha estado aclarando el alcance protector del Artculo 8 de la Convencin Europea de Derechos Humanos, en especial en relacin con el tratamiento de datos de carcter personal. El Tribunal ha establecido en particular que el derecho al respeto a la vida privada del Artculo 8 de la Convencin Europea de Derechos Humanos incluye una serie de obligaciones positivas de parte de los Estados, los cuales pueden involucrar la adopcin de medidas diseadas para garantizar la proteccin de los datos de carcter personal en la esfera de las relaciones interpersonales.510 En varias sentencias, la Corte se ha referido explcita o implcitamente a los principios de la proteccin de datos.511 Siguiendo los avances de las tecnologas de la informacin, el Consejo de Europa emiti, por separado, un Convenio para la Proteccin de Personas en relacin al Tratamiento Automtico de Datos de Carcter Personal en 1981 (conocido como el
507 508
Id., Art. 7.
Ver <http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=005&CM=8&DF=15/11/2010&C L=ENG>. 509 Id. 510 Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 20511/03, 17 de julio de 2008, I. contra. Finlandia, Sentencia, 36-38. Disponible en <http://www.5rb.com/docs/I-vFinland%20ECHR%2017%20July%202008.pdf>. 511 Ver, por ejemplo, Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 9248/81, 26 de marzo de 1987, Leander contra Suecia, Sentencia, 48; Tribunal Europeo de Derechos Humanos (ECtHR), Gran Sala, Expediente No. 14310/8828, 28 de octubre de 1994, Murray contra El Reino Unido, Sentencia, 84; Gran Sala, Expediente No. 28341/95, 4 de mayo de 2000, Rotaru contra Rumania, Sentencia, 43 y 44; Gran Sala, Expediente No. 27798/95 16 de diciembre de 2000, Amann contra Suiza, Sentencia, 15-29, 65; Expediente No. 44787/98, 25 de septiembre de 2001, P.G. y J.H. contra El Reino Unido, Sentencia, . 59; Expediente No. 44647/98, 28 de enero de 2003, Peck contra El Reino Unido, Sentencia, 59; Gran Sala, Expedientes Nos. 30562/04 y 30566/04, 4 de diciembre de 2008, S. y Marper contra El Reino Unido, Sentencia, 68.
158
"Convenio No. 108").512 A las Partes de este Convenio, entre los cuales se hallan todos los Estados Miembros de la UE, se les exige implantarlo en su legislacin nacional. El Convenio No. 108 est abierto para cualquier pas que haya promulgado legislacin "en concordancia con" los estndares establecidos por ste; y ste fue modificado en 1999 haciendo posible que la UE pudiera adherirse al mismo.513 En el 2001 se aprob un Protocolo Adicional relativo a las autoridades de supervisin y a los flujos transfronterizos de datos, el cual entr en vigor en el 2004.514 Ms adelante, el Convenio No. 108 se complement con una serie de Recomendaciones,515 tales como la Recomendacin que Regula el uso de los Datos Personales en el mbito Policial.516 Recientemente, el Comit Consultivo del Convenio para la Proteccin de Personas en relacin al Tratamiento Automtico de Datos de Carcter Personal ha estado trabajando activamente en el tema de creacin de perfiles. Este adopt en junio de 2010 un Proyecto de Recomendacin sobre el tema.517 Adems, ste ha iniciado un proceso de anlisis del Convenio No. 108 y se espera que se empiece a debatir su posible revisin en un corto plazo.
Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal, adoptado por el Consejo de Europa en Estrasburgo, 28 de enero de 1981, disponible en <http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm>. 513 Modificaciones al Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal (ETS No. 108) que permite a las Comunidades Europeas adherirse, adoptado por el Comit de Ministros, en Estrasburgo, 15 de junio de 1999, disponible en <http://conventions.coe.int/Treaty/en/Treaties/Html/108-1.htm>. 514 Protocolo Adicional al Convenio para la proteccin de personas naturales relativo al tratamiento automtico de datos de carcter personal, en relacin a autoridades de supervisin y a flujos transfronterizos de datos (CETS No. 181), aprobado por el Comit de Ministros del Consejo de Europa en Estrasburgo, 8 de noviembre de 2001, disponible en <http://conventions.coe.int/treaty/en/Treaties/Html/181.htm>. 515 Todas las recomendaciones estn disponible en <http://www.coe.int/t/dghl/standardsetting/dataprotection/Legal_instruments_en.asp>. 516 Recomendacin del Consejo de Europa No. R (87) 15 del Comit de Ministros a los Estados Miembros regulando el uso de datos personales en el mbito policial. 517 Comit Consultivo del Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal, Proyecto de Recomendacin sobre la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal en el contexto de creacin de perfiles, adoptado en su reunin plenaria 26ta, junio de 2010, Estrasburgo.
512
159
160
E. Espaa
518
Normas legales y reglamentos sobre los derechos de privacidad y proteccin de datos personales
Legislacin general
La primera Ley Orgnica Espaola sobre esta materia es la de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal (LORTAD), promulgada en el ao 1992 y modificada en el ao 1999 en la Ley Orgnica de Proteccin de Datos (LOPD), que sita a la legislacin espaola ms en lnea con la Directiva Europea de Proteccin de Datos.520 La LOPD es aplicable a los ficheros de informacin del sector pblico y privado. La Ley establece que los ciudadanos tienen derecho a acceder a sus datos personales sometidos a tratamiento electrnico y les garantiza el derecho de
El informe EPHR (European Privacy and Human Rights) "Spain" ("Espaa") ha sido actualizado en octubre de 2010 por Antoni Farriols Sola, Comisin de Libertades e Informtica (Madrid), en noviembre de 2010 por Ferran Adell, Universitat Autnoma de Barcelona y en enero de 2011 por Javier Sempere (Agencia de Proteccin de Datos de la Comunidad de Madrid). 519 La Constitucin Espaola, reformada en agosto de 1992, en <http://www.constitucion.es/>. 520 Vase la Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal (LORTAD), vigente hasta el 14 de enero de 2000, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1992/24189>; Vase tambin la Ley Orgnica 15/99 de 13 de Diciembre 1999 de Proteccin de Datos de Carcter Personal (LOPD), en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1999/23750>.
518
161
rectificar o cancelar los datos inexactos o incorrectos. Adems, la LOPD tambin restringe el acceso a los datos por cuenta de terceros al requerir el consentimiento del afectado para el propsito especfico para el que fueron recogidos sus datos. Se protegen de forma cualificada los datos especialmente sensibles. Sin embargo, las asociaciones de consumidores manifestaron en su da su preocupacin por las disposiciones de la Ley que permitan el uso de la informacin sin consentimiento, excepto cuando el consumidor hubiera indicado expresamente lo contrario. En 1999, se aprob un reglamento sobre las medidas secundarias necesarias para proteger sistemas de ficheros automatizados de acuerdo con la LOPD.521 Un nuevo Real Decreto publicado el 19 de enero de 2008 y que entr en vigor el 19 de abril de 2008, implementa la LOPD para impedir el uso de datos de carcter personal sin previo conocimiento y consentimiento del interesado. Garantiza que cualquier persona tendr el derecho de acceso, rectificacin, cancelacin u oposicin de sus datos de carcter personal y de revocar su consentimiento al responsable del fichero de forma fcil y libre de cargos. El Decreto tambin protege con medidas de seguridad ms estrictas los datos especialmente sensibles.522 El Real Decreto 1720 /2007 implementa la Ley Orgnica 15/1999 de proteccin de datos de carcter personal e introduce algunas novedades: regula el consentimiento para el tratamiento de datos de los menores de edad (el menor de 14 aos necesita el consentimiento de sus padres) y establece las medidas de seguridad a seguir para tratar los datos de carcter personal en ficheros no automatizados. Este Decreto tambin establece el Procedimiento Administrativo que los responsables del fichero han de observar para facilitar el acceso del interesado a sus datos personales, el procedimiento para registrar los cdigos de comportamiento y las condiciones bajo las que el responsable del fichero est autorizado a tratar los datos de carcter personal con fines histricos, estadsticos o cientficos. El Real Decreto tambin trata otras cuestiones que fueron reguladas previamente en otros Reales Decretos e instrucciones,523 como el movimiento internacional de datos personales, los procesos de ejecucin de la Agencia Espaola de Proteccin de Datos y los derechos de las personas, como el derecho de acceso a los propios datos y los derechos de cancelacin, rectificacin u oposicin. Otro Real Decreto de 8 de enero de 2010, modifica la LOPD para impedir el intercambio y comparacin de datos de carcter personal entre distintos ficheros, sin el consentimiento previo del interesado.524
Vase el Real Decreto 994/1999, del 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, en <http://noticias.juridicas.com/base_datos/Admin/rd994-1999.html>. 522 Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, 21 de diciembre de 2007, BOE No. 17, 19 de enero de 2008, en <https://www.agpd.es/portalweb/canaldocumentacion/legislacion/estatal/common/pdfs/RD_1720_2007.p df>. 523 Una "instruccin" es un documento legal elaborado por la AEPD que es vinculante para los responsables del fichero y regula un rea especfica relacionada con la proteccin de datos de carcter personal (p. ej. la vigilancia o el movimiento internacional). 524 Real Decreto 3/2010 Disposicin adicional cuarta. Modificacin del Reglamento de desarrollo de la Ley Orgnica 15/1999 de proteccin de datos de carcter personal aprobado por Real Decreto 1/20/2007, 8 de enero de 2010 (Real Decreto 3/2010), en espaol en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/art.81.5b _RDLOPD.pdf>.
521
162
Legislacin sectorial
La Ley Orgnica 4/2007 de 12 de abril de Universidades525 permite la publicacin en Internet de las calificaciones de los estudiantes universitarios. La Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico526 regula las condiciones para contratar a personas responsables del tratamiento de datos de carcter personal por parte de los Organismos pblicos.
Ley Orgnica 4/2007, de 12 de abril, por la que se modifica la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades, BOE Nm. 89, 13 de abril de 2007. 526 Ley 30/2007, de 30 de octubre, de contratos del sector pblico Ley 30/2007 de contratos del sector pblico, BOE Nm., 31 de octubre de 2007, en <http://www.cert.fnmt.es/legsoporte/Ley%20302007.pdf>. 527 Vase Agencia Espaola de Proteccin de Datos <https://www.agpd.es>. 528 Sentencias 290/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-T-2001330>, 292/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2000-5236> y 202/1999 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1999-3782> respectivamente. 529 Sentencia 292/2000, supra. 530 En 2005, se iniciaron 387 procedimientos administrativos sancionadores, en comparacin con los 148 de 2002. Las fases instructoras se incrementaron en un 60%, de 723 en 2002 a 1158 en 2005. Los procedimientos contra organismos oficiales se triplicaron, de 13 en 2002 a 52 en 2005. AEDP, Memoria 2005, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/memorias/memorias_2005/common/pdfs/M EMORIA-APD_2005.pdf>.
525
163
pblica, en comparacin con los 815.093 ficheros inscritos en diciembre de 2006, 56.138 de titularidad privada y 758.955 de titularidad pblica.531 En 2007 el nmero de denuncias presentadas al Canal del Ciudadano de la AEPD se incrementa en un 30 por ciento (para un total de 47.741 consultas). Las visitas a la pgina web de la AEPD aumentan, de 1.518.714 en 2006 a 2.230.120 en 2007.532 Durante el 2007533 el nmero de trabajadores de la AEPD pasa a ser 103, de los 99 en 2006.534 En 2007, hay 849 resoluciones sobre procedimientos de tutela de derechos,535 frente a las 556 en 2006 y las 579 en 2005.536 Tambin en 2007 se inician 879 procedimientos sobre tutela de derechos, 617 de ellos relacionados con el derecho de acceso a los propios datos, 545 con el derecho de cancelacin, 26 con el derecho de rectificacin de los propios datos y 32 con el derecho de oposicin. Se dictan 849 resoluciones, 617 de las cuales son estimativas y 155 desestimativas.537 La AEPD lleva a cabo 396 procedimientos sancionadores en 2007, en comparacin con los 326 llevados a cabo en 2006.538 Entre el 2008 y el 2010, la AEPD publica varias guas para la correcta aplicacin de la LOPD: la "Gua de Proteccin de Datos para Responsables de Ficheros" que incluye herramientas y reglas para el tratamiento de los ficheros de acuerdo con la LOPD;539 la "Gua de Seguridad de Datos";540 un informe sobre los derechos de los menores y las obligaciones de sus progenitores;541 una gua sobre video vigilancia respetando la LOPD, dirigida a empresas, asociaciones y particulares;542 y la ltima, en 2009, sobre la proteccin de datos en las relaciones laborales.543 La AEPD tambin mejora su sitio web: incluye una nueva seccin con informacin prctica sobre la proteccin de datos en Internet.544
AEPD, Memoria 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria _AEPD_2007.pdf>. 532 Id. 533 En 2005 el personal de la AEDP pas de los 89 a los 98 empleados. AEDP, Memoria 2005, supra. 534 AEDP, Memoria 2007, supra. 535 AEDP, Memoria 2007, supra. 536 Correo electrnico de Esperanza Zambrano Gmez, Agencia Espaola de Proteccin de Datos, a Guilherme Roschke, Skadden Fellow, Electronic Privacy Information Center (EPIC), 2 de agosto de 2007. 537 AEDP, Memoria 2007, supra. 538 AEDP, Memoria 2007, supra. 539 Gua de Proteccin de Datos para Responsables de Ficheros, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsab le_ficheros.pdf>. 540 Gua de Seguridad de Datos, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad _datos_2008.pdf>. 541 Derechos de los menores y obligaciones de sus progenitores en <https://www.agpd.es/portalwebAGPD/canal_joven/common/pdfs/recomendaciones_menores_2008.pdf> . 542 Gua sobre Videovigilancia en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/ guia_videovigilancia_en.pdf>. 543 Gua de la Proteccin de Datos en las Relaciones Laborales, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/ guia_relaciones_laborales.pdf>. 544 Pgina web de la AEPD <https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/indexides-idphp.php>.
531
164
En noviembre de 2009, la AEDP organiza la XXXI Conferencia Internacional de Proteccin de Datos y Privacidad. Al final de esta reunin internacional, los comisarios presentan una propuesta conjunta para el proyecto de Estndares Internacionales para la proteccin de la privacidad y de los datos de carcter personal. El propsito del documento es definir un conjunto de principios y derechos que garanticen la proteccin uniforme efectiva e internacional de la privacidad en relacin con el tratamiento de datos de carcter personal a la vez que facilite el movimiento internacional de dichos datos a escala mundial.545 Las memorias anuales de 2008 y 2009 de la AEPD indican que la mayora de las reclamaciones sobre la proteccin de datos se relacionan con Internet, la video vigilancia y las listas de morosos. En octubre de 2008, el Director de la AEPD comparece ante la Comisin Constitucional del Congreso de los Diputados para dar cuenta de la Memoria 2007 de la AEPD. En su discurso expresa que los ciudadanos son prioridad para la AEPD y que es necesario concienciar a la ciudadana sobre el derecho a la proteccin de sus datos, proporcionndoles ms informacin y animndoles a que denuncien y recurran cuando consideren que sus derechos han sido vulnerados. Tambin habla de los temas en los que la AEPD pone un mayor inters: la video vigilancia, la publicidad mediante mvil e Internet, la difusin de imgenes a travs de Internet o YouTube o, por ejemplo, los motores de bsqueda.546 Por ltimo, manifiesta: "La conclusin es clara: la concienciacin ciudadana en Espaa es superior a la media europea."547 En abril de 2008, la AEPD organiza una reunin informativa para hablar sobre las novedades de la LOPD. Dicha reunin cuenta con la asistencia de ms de 2.000 personas de los sectores pblico y privado.548 La Memoria 2007 de la AEPD incluye una seccin con recomendaciones surgidas de la experiencia de la Agencia, que resultan especialmente interesantes para el pblico en general. En la esfera legal, afirma la necesidad de la autorregulacin de la publicacin annima, en lnea o fuera de lnea, de los reglamentos y sentencias sobre los sistemas internos de presentacin de informes gestionados por empleados dentro de las empresas, para garantizar la confidencialidad del demandante y los derechos del acusado. Tambin incide en la necesidad de elaborar un "Plan de Promocin de Buenas Prcticas" que garantice la privacidad. La AEPD tambin apunta en su Memoria 2007 que en el caso de litigios relacionados con redes entre pares (P2P), donde convergen las cuestiones legales de la privacidad y de los derechos de autor, slo mediante una ley se podr determinar qu datos personales se pueden utilizar y con qu objeto, as como establecer el equilibrio entre la proteccin de datos y la propiedad intelectual.549 A este respecto, la AEPD propone una
Propuesta Conjunta de Estndares Internacionales de Proteccin de Datos y Privacidad, en <https://www.agpd.es/portalwebAGPD/internacional/Estandares_Internacionales/index-ides-idphp.php>. 546 Comparecencia ante la Comisin Constitucional del Congreso de los Diputados del seor Director de la AEPD, para informar sobre la Memoria 2007 de la AEPD, 1 de octubre de 2008 en <https://www.agpd.es/portalweb/canaldocumentacion/comparecencias/common/pdfs/comparecencia_200 8.pdf>. 547 Id. 548 I Sesin Anual Abierta de la AEPD, 22 de abril de 2008, en <https://212.170.242.196/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php>. 549 AEPD, Memoria 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria _AEPD_2007.pdf>.
545
165
iniciativa de impulso de cautelas especiales para evitar el intercambio indeseado de datos especialmente protegidos a travs de redes P2P en Internet.550 (Vase ms informacin en el apartado "Comercio electrnico") En enero de 2005, la AEPD decide publicar sus resoluciones en su pgina web, un mes despus de haberlas notificado a los interesados, para lograr una mayor transparencia en su actividad y contribuir a su conocimiento pblico551, a excepcin de las relacionadas con la inscripcin de los ficheros en el Registro General de Proteccin de Datos. Dos cuestiones que la AEPD trata con especial inters en 2004 y 2005 son la lucha contra el "spam" y el estmulo a las pequeas y medianas empresas (PYMES) para que registren sus ficheros de datos personales en el Registro General de Proteccin de Datos (RGPD). A pesar de que el registro de los ficheros de datos personales es obligatorio, slo un 10 por ciento de las PYMES que funcionan en Espaa cumplen la ley.552 En relacin a la lucha contra el "spam", la AEPD anuncia a tal efecto la firma de un acuerdo, Protocolo de Acuerdo con la Comisin Federal del Comercio de los Estados Unidos. Este protocolo trata de facilitar la colaboracin entre Espaa y Estados Unidos de Amrica en su lucha contra el "spam". Tambin anuncia que se han llevado a cabo cientos de investigaciones en relacin con este problema, que resultan en 14 acciones legales por infraccin de la legislacin de proteccin de datos, seis de las cuales fueron resueltas. De estos seis casos resueltos, dos fueron calificados como "infracciones graves", otros dos como "infracciones menos graves" y los dos restantes fueron desestimados.553 En general, las infracciones contra la normativa anti-spam podrn sancionarse con multas de hasta 30.000 euros. En 2004, la AEPD considera el "Carcter de Dato Personal de la Direccin IP"554 y establece que la direccin IP ha de considerarse un "dato de carcter personal" y que, por consiguiente, el responsable del fichero que maneje dicha informacin deber observar lo establecido en la LOPD. La no observacin de lo establecido podr sancionarse con multas para el infractor de hasta 300.000 euros.555
Id. Instruccin 1/2004, de 22 de diciembre, de la Agencia Espaola de Proteccin de Datos sobre la publicacin de sus resoluciones <https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion1-2004.pdf>. 552 "Slo el 10% de las PYMES espaolas cumple la Ley de Proteccin de Datos", Atlntico, 13 de abril de 2005. 553 AEPD, nota de prensa, 23 de febrero de 2005, en <https://www.agpd.es/upload/Prensa/Nota%20eeuu.pdf>. 554 Agencia Espaola de Proteccin de Datos, "Carcter de dato personal de la direccin IP," (Informe 327/03), en <https://www.agpd.es/index.php?idSeccion=390>. 555 Marta Escudero y Javier Maestre, "Como consecuencia, muchos webmasters debern registrar sus ficheros en la Agencia," 5 de julio de 2004, en <http://www.kriptopolis.com/more.php?id=201_0_1_0_M>.
551 550
166
captura de imgenes para su servicio Street View desde 2008556. Segn la AEPD, los hechos podran infringir la Ley Orgnica de Proteccin de Datos de Carcter Personal557. (Vase ms informacin en el apartado "Derecho a la intimidad en exteriores") En 2008 el Tribunal Supremo conoce de un caso en el que el demandado, la Asociacin Contra la Tortura, publica en Internet una lista de nombres y apellidos de las personas investigadas por tortura. El Tribunal Supremo, en Sentencia de 26 de junio de 2008, confirma la decisin tomada por la AEPD de sancionar a la Asociacin por haber publicado datos personales en Internet sin el consentimiento de los sujetos. El Tribunal Supremo considera que no se puede alegar el derecho a la libertad de expresin.558 El Tribunal Superior de Justicia de las Comunidades Europeas resuelve en su Sentencia de 28 de enero de 2008 que las Directivas sobre proteccin de derechos de autor no obligan a divulgar datos personales en un proceso civil, pero que las autoridades competentes de los Estados Miembros deben adoptar medidas para garantizar el equilibrio entre los derechos de autor y propiedad intelectual y los de privacidad y proteccin de datos personales.559 (Vase ms informacin en el apartado "Comercio electrnico") El Tribunal Supremo no admite la cancelacin de datos en libros de bautismo: revoca la sentencia dictada con fecha 10 de octubre de 2007 por la Audiencia Nacional que ratificaba el criterio mantenido por la AEPD desde 2004. La AEPD considera los libros de bautismo ficheros que contienen datos de carcter personal y, por lo tanto, pide que se les apliquen los principios de proteccin de datos, como el principio de calidad y exactitud de los datos.560 En 2007 se dan dos sentencias del Tribunal Supremo sobre el derecho a la intimidad en el trabajo: en el primer caso, el empresario utiliza las huellas dactilares de sus
AFP, "Spanish Judge Probes Complaint over Google's Street View," ("Un magistrado espaol admite una demanda sobre el Street View de Google"), 16 de agosto de 2010 <http://www.google.com/hostednews/afp/article/ALeqM5j2pPKEWPkNBcWqrYYj-BUlHA3Ntg>. Vase tambin "Spanish DPA Opens Infringement Procedures for Google Streetview", ("La AEPD abre una investigacin a Google por el StreetView"), EDRi-gram - Nmero 8.20, 20 de octubre 2010 <http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View Faces Citizens' Reservation in EU", (El Street View de Google se enfrenta las reservas de los ciudadanos en la UE), EDRi-gram Nmero 8.16, 25 de agosto de 2010, <http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>; Fiona Govan, "Spain Takes on Google over Privacy Violations in Street View", ("Espaa se enfrenta a Google por la infraccin del derecho a la intimidad de su servicio Street View"), The Telegraph, 17 de agosto de 2010 <http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>. 557 AEPD, "La AEPD abre una investigacin a Google por la captacin de Datos de Redes WI-FI en Espaa", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/ 100519_NP_GOOGLE_WIFI_WEB.pdf>. 558 AEPD, "Desestima el recurso de casacin interpuesto por la Asociacin contra la Tortura. El TS confirma el criterio de la AEPD al sancionar y cancelar la difusin de datos de funcionarios en la Web de la Asociacin contra la Tortura", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2008/notas_prensa/common/julio/ NP_180708_tribunal_supremo.pdf>. 559 Id. 560 AEPD, "El Tribunal Supremo no admite la cancelacin de datos en libros de bautismo", en <https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2008/notas_prensa/common/sept/np_0809 30_sentencia_TS.pdf>.
556
167
trabajadores para controlar sus actividades en horario laboral y en el segundo, el empresario realiza una intromisin en el correo electrnico y las pginas de Internet visitadas por sus trabajadores. (Vase ms informacin en el apartado "Jurisprudencia sobre los Derechos de Privacidad y Proteccin de Datos Personales") En diciembre de 2004, 12 personas de diferentes agrupaciones sociales de Catalua presentan una denuncia ante la AEPD por la inclusin de sus datos personales y fotografas en un fichero ilegal de naturaleza "poltica" por parte de la Brigada Provincial de Informacin. Los demandantes no tenan antecedentes penales, pero formaban parte de una lista de 30 personas cuyas fotografas fueron mostradas durante su interrogatorio el 3 de octubre de 2004 a tres detenidos acusados de lanzar ccteles molotov contra la comisara del distrito barcelons de Sants. Este procedimiento slo habra sido legal si las personas cuyas fotografas fueron mostradas hubieran tenido antecedentes penales. Adems, las fotografas mostradas no son las de sus DNI, sino que haban sido tomadas durante su participacin en actividades pblicas. Los demandantes alegan que se ha infringido el Artculo 7.4 de la LOPD de 1999, que prohbe "los ficheros creados con la finalidad exclusiva de almacenar datos de carcter personal que revelen la ideologa, afiliacin sindical, religin, creencias, origen racial o tnico, o vida sexual." La polica niega que dispusiera de un fichero con la identidad de personas vinculadas a agrupaciones sociales y declara que el nico archivo existente es el de los ciudadanos con antecedentes, aunque admite que la polica trabaja con un fichero para sus investigaciones, que est tutelado por la Agencia Espaola de Proteccin de Datos.561
168
cuatro aos de crcel. En el primer juicio de 1999, Manglano y Perote fueron condenados a seis meses de crcel cada uno y otros cinco cargos del CESID tambin fueron condenados a seis meses, si bien el Tribunal Constitucional anul la sentencia el 29 de marzo de 2004 al considerar que el juez que instruy el caso no haba sido imparcial. Los cargos presentados contra Emilio Alonso Manglano y otros cinco empleados del CESID por una acusacin particular formada por personas y asociaciones que haban sido objeto de vigilancia fueron retirados. Perote critic la sentencia emitida en su contra alegando que su director Manglano y varios miembros del gobierno del Partido Socialista de aquel entonces saban de "esta actividad" llevada a cabo de 1983 a 1991.564 Las pruebas recogidas mediante escuchas ilegales estn sujetas a una norma de exclusin, y en noviembre de 2002 la Audiencia de Barcelona desestim un caso porque las pruebas estaban viciadas.565 En mayo de 2001, una acusacin pidi condenas de 12 aos para cada uno de dos detectives acusados de realizar escuchas ilegales.566 En diciembre de 2004 el Tribunal Superior declar que "la aprobacin de una normativa apropiada para las intercepciones telefnicas" no puede posponerse, tras retirar los cargos a dos presuntos narcotraficantes al considerarse irregulares las intercepciones telefnicas utilizadas para condenarlos en la Audiencia Nacional. Dicho Tribunal aadi que Espaa ya haba sido condenada por el Tribunal Europeo de Derechos Humanos por no especificar el carcter de los delitos que pueden dar lugar a esas intercepciones, ni establecer la duracin mxima de las mismas.567 La Ley General de Telecomunicaciones (LGT) de 2003 ampara el derecho de las personas a utilizar criptografa robusta, pero tambin incluye una disposicin, el artculo 36, que permite el uso de un sistema de recuperacin de claves.568 Las anteriores versiones de esta disposicin fueron objeto de una gran oposicin por parte de los abogados de libertades civiles.569 El nuevo artculo 36 no supone un gran cambio respecto al anterior artculo 52, que requera la notificacin de los algoritmos utilizados, pero sigue siendo ambiguo cuando se refiere a la creacin de un sistema de depsito de claves.570 A principios de 2004, el Cuerpo Nacional de Polica y la Guardia Civil informaron que iban a empezar a utilizar un nuevo programa de software, SINTEL, que les permite interceptar directamente comunicaciones telefnicas sin necesidad de recabar previamente una autorizacin judicial. SINTEL, que fue diseado en un acuerdo secreto
"Perote, condenado a cuatro meses de arresto por las escuchas del Cesid," El Pas, 13 de abril de 2005; y "Cuatro meses de prisin para Perote por las escuchas del Cesid," El Pas, 4 de abril de 2005. 565 "Secreto Comunicaciones Audiencia invalida pruebas obtenidas por 'pinchazo' telfono," Servicio Espaol de Noticias, 23 de noviembre de 2000. 566 "Pinchazos telefnicos: Fiscala pide 24 aos para detectives por pinchar telfonos," Servicio Espaol de Noticias, 7 de mayo de 2001. 567 "El Supremo cree inaplazable regular el control de telfonos," El Pas, 13 de diciembre de 2004. 568 Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones., <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/20253>, parcialmente traducido al ingls en <https://www.agpd.es/upload/Ley_32-2003_LGT.pdf>. 569 Vase Campaa para una Libertad Global en Internet (Global Internet Liberty Campaign), "La nueva Ley Espaola de Telecomunicaciones abre una puerta hacia los sistemas obligatorios de recuperacin de claves (New Spanish Telecommunications Law Opens a Door to Mandatory Key Recovery Systems)," julio de 1998, en <http://www.gilc.org/crypto/spain/gilc-crypto-spain-798.html>. 570 Vase "No al Articulo 36 restricciones a la criptografa: La nueva Ley General de Telecomunicaciones impone la obligacin de revelar las claves de cifrado," marzo de 2003, en <http://www.spain.cpsr.org/02042003.php>; Merc Molist, "El Congreso no aclara el depsito del cifrado en la Ley de Telecomunicaciones," El Pas, 12 de junio de 2003.
564
169
en octubre de 2001, funciona en tiempo real. Adems de registrar el contenido de la comunicacin, el programa tambin proporciona la identidad de los dos interlocutores y el lugar desde el que estn llamando.571 SITEL ha suscitado un debate controvertido sobre la necesidad de determinadas herramientas para luchar contra el crimen en Espaa y la defensa de los derechos fundamentales de los ciudadanos. La Asociacin de Internautas espaola present una mocin572 ante la Audiencia Nacional573 para que se pronunciara acerca de si la polica puede acceder a la base de datos personales de SITEL sin el consentimiento previo del juez y sin pruebas suficientes de que se est cometiendo una infraccin. La mocin fue desestimada.574 A principios de 2010, el Tribunal Supremo decidi que la polica poda tener acceso a determinados datos (nmeros de telfono, nombres y apellidos) de la agenda de mvil de las personas arrestadas sin una orden judicial, pero no al contenido de las llamadas ya que estn protegidas por el derecho constitucional de confidencialidad de las comunicaciones.
170
polticas como el llamado Plan Ibarretxe, propuesto por el Lehendakari (el presidente del gobierno vasco) para cambiar el estatuto de la comunidad autnoma vasca.579
Retencin de datos
En 2007, el Parlamento aprob la Ley de Retencin de Datos (Ley 25/2007 de 18 de octubre de 2007)580 que implanta la Directiva de la UE sobre Retencin de Datos (2006/24/CE).581 Dicha ley establece que el periodo de retencin es de 12 meses y, adems, prohbe el anonimato de los usuarios de mviles con tarjeta prepago. Durante la fase de preparacin previa a la implementacin de la Directiva por parte del Parlamento organizaciones de Internet y de derechos civiles opusieron una fuerte resistencia a la misma y todos ellos se adscribieron a la campaa europea "La Retencin de Datos no es la solucin".582
Bases de datos nacionales creadas para hacer cumplir ley y velar por la seguridad
A consecuencia de los ataques terroristas de 2001 en los Estados Unidos de Amrica y de 2004 en Madrid, se promulgaron dos nuevas leyes con el fin de combatir el terrorismo. Estas dos leyes estn redactadas para complementarse entre s y afectan directamente al mbito de la proteccin de datos mediante la creacin de nuevas bases de datos de titularidad pblica. La primera de ellas tiene como objeto prevenir y bloquear la financiacin terrorista.583 Establece la creacin de una Comisin de Vigilancia de Actividades de Financiacin del Terrorismo. Esta institucin tiene autoridad para bloquear fondos, cuentas bancarias y dems activos financieros pertenecientes a organizaciones o personas vinculadas a actividades terroristas. Desarrolla sus investigaciones en la esfera administrativa y colabora con la judicatura a la hora de transmitir sus conclusiones a los jueces que instruyen las causas criminales. La ley establece la obligacin por parte de las instituciones financieras (a saber, los bancos, entidades de crdito, oficinas de cambio), y de todas las personas citadas en la ley contra el blanqueo de capitales (Ley 19/2003, descrita ms adelante), de colaborar aportando toda la informacin requerida (incluyendo datos personales) sobre los fondos congelados. En relacin con lo
"El Borrador permite al Servicio Secreto investigar cualquier riesgo que afecte a la integridad de Espaa," El Pas, 18 de marzo de 2005. 580 Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones, BOE nm. 251, 19 octubre 2007 (BOE Nm. 251, 19 de octubre de 2007, en <http://noticias.juridicas.com/base_datos/Admin/l25-2007.html>. 581 Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:01:ES:HTML>. 582 "La retencin de datos no es la solucin (Data Retention is no Solution)," <http://www.dataretentionisnosolution.com>. Vese tambin R-ES, "Cmo Te Afecta La Retencin de Datos?", 27 de septiembre de 2005 <http://wiki.dataretentionisnosolution.com/index.php/Texto_cpsr_es>. 583 Ley 12/2003, de 21 de mayo, de prevencin y bloqueo de la financiacin del terrorismo, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/10289>; vase tambin <http://www.igsap.map.es/cia/dispo/26927.htm>.
579
171
dispuesto en la LOPD, esta ley estipula, adems, que los ficheros creados por la Comisin de Vigilancia sern considerados ficheros de titularidad pblica y, por tanto, estn exentos en lo que se refiere a los derechos de acceso, rectificacin y cancelacin. No obstante, esta ley ha sido modificada recientemente por la Ley 10/2010, de 28 de abril de 2010, sobre la prevencin del blanqueo de capitales y financiacin del terrorismo584. Dicha ley prev la creacin de ficheros de personas con responsabilidad pblica, incluyendo los nombres y apellidos de sus familiares, y tiene como objeto el de prevenir el blanqueo de capitales y la financiacin del terrorismo. Esta ley implementa las Directivas 2005/60/CE y 2006/70/CE. La segunda normativa es la Ley 19/2003, promulgada en julio de 2003, que regula el movimiento de capitales y las transacciones internacionales.585 Esta ley tiene como objeto prevenir el blanqueo de capitales y est estrechamente relacionada con la ley sobre la financiacin de actividades terroristas. Fue aprobada como una modificacin de la ley de 1993 sobre la prevencin del blanqueo de capitales. La nueva normativa tambin incorpora a la legislacin nacional la Directiva 2001/97 sobre la prevencin del blanqueo de capitales.586 Esta ley no slo se aplica a crmenes terroristas, al trfico ilcito de estupefacientes y al crimen organizado (la situacin actual), tambin al resto de crmenes considerados graves (castigados con ms de tres aos de crcel) y a todas las actividades de blanqueo de capitales relacionadas. La ley tambin impone nuevas obligaciones a personas como auditores, contables externos (no slo a los contables internos de las empresas) y a asesores fiscales. Los notarios, juristas y letrados tambin tienen que colaborar respetando plenamente el secreto profesional y sin perjuicio del derecho constitucional a la defensa. La Ley Orgnica 10/2007 de 8 de octubre de 2007 regula la base de datos policial de ADN, controlada por el Ministerio del Interior. Esta base de datos contiene los registros de ADN obtenidos de investigaciones criminales (sin el consentimiento del titular de los datos) y de la identificacin de cadveres. La nueva ley dispone que deber borrarse un registro de ADN si el crimen entra dentro del periodo de limitacin. Si el titular de los datos es culpable, los datos se borrarn de acuerdo con la ley de antecedentes penales; y si no es culpable, su ADN deber borrarse de la base de datos.
Ley 10/2010, de 28 de abril de prevencin del blanqueo de capitales y de la financiacin del terrorismo, en <http://noticias.juridicas.com/base_datos/Admin/l10-2010.html>. 585 Ley 19/2003, de 4 julio, sobre rgimen jurdico de los movimientos de capitales y de las transacciones econmicas con el exterior y sobre determinadas medidas de prevencin del blanqueo de capitales, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/13471>. 586 Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2001 sobre blanqueo de capitales: prevencin de la utilizacin del sistema financiero (Directiva del Parlamento Europeo y del Consejo 2001/97/CE de 4 diciembre de 2001 sobre el blanqueo de capitales: Prevencin de la utilizacin del sistema financiero), en <http://europa.eu.int/scadplus/leg/es/lvb/l24016.htm>.
584
172
Ciberdelincuencia
El 3 de junio de 2010, Espaa ratific la Convencin sobre Ciberdelincuencia del Consejo Europeo.
Infraestructura crtica
No hay informes nuevos en esta seccin.
Seguridad ciberntica
No hay informes nuevos en esta seccin.
173
de privacidad de los motores de bsqueda sobre el uso de los datos personales no es suficientemente clara y, probablemente, es ininteligible para la comunidad general de usuarios de Internet. Tambin subraya que es necesario limitar el uso y el almacenamiento de datos personales. La informacin debe borrarse en cuanto deje de ser necesaria para la prestacin del servicio. Los servicios de motores de bsqueda estn obligados a permitir que los titulares de los datos ejerzan los derechos de cancelacin y oposicin en relacin con sus datos personales si stos aparecen en otras pginas web. Asimismo, alert sobre la necesidad de establecer estndares internacionales con el objeto de definir y acordar normas que garanticen la privacidad en Internet.590 La AEPD ha recibido numerosas quejas de personas que, como titulares de los datos personales, quieren ejercer su derecho a cancelar la publicacin de sus datos personales en los boletines oficiales. La Agencia de Proteccin de Datos de la Comunidad de Madrid, o APDCM, emiti una recomendacin (2/2008) sobre la publicacin de datos personales en los boletines oficiales591 y en las pginas web de las instituciones pblicas de la Comunidad de Madrid.592 El problema surgi cuando se demostr que mediante un simple motor de bsqueda pueden encontrarse fcilmente los nombres y los datos identificativos de personas en los boletines oficiales. La recomendacin autoriz a las instituciones pblicas de la Comunidad de Madrid para aplicar el principio de calidad siempre que publiquen disposiciones administrativas en los boletines oficiales o en sus pginas web (como sanciones, subvenciones, etc.). As por ejemplo, en el caso de las subvenciones, el principio de calidad establece que slo debe publicarse el resultado total de las subvenciones y no el parcial. Los boletines oficiales tambin han implementado dicho principio de tal forma que los nombres de personas publicados en los mismos no sean indexados por los motores de bsqueda online. Como respuesta a ello, el Ayuntamiento de Madrid public una instruccin593 sobre la publicacin de datos personales en su boletn oficial y, por su parte, la Autoridad Catalana de Proteccin de Datos (Autoritat Catalana de Protecci de Dades594) estableci una recomendacin sobre la publicacin de datos personales en Internet.595
Agencia Espaola de Proteccin de Datos, "Declaracin de la AEPD sobre buscadores de Internet (2007)", 1 de diciembre de 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/recomendaciones/common/pdfs/declaracion_aepd_ buscadores_en.pdf>. 591 Los Boletines Oficiales son peridicos que se publican diariamente por los que los organismos pblicos hacen pblicos sus actos y resoluciones administrativas. [Nota del editor.] 592 Esto afecta a la administracin de la Comunidad de Madrid, ayuntamientos, asociaciones profesionales y universidades pblicas. 593 BOAM n 6341, 3 de enero de 2011, en <http://www.madrid.es/portales/munimadrid/es/Inicio/ElAyuntamiento/Boletin-Oficial-del-Ayuntamiento/Buscador-Boletines/1-Instruccion-Medidas-AgenciaProtec.-Datos-Cdad.-deMadrid?vgnextfmt=default&vgnextoid=4442a3045ef2d210VgnVCM2000000c205a0aRCRD&vgnextcha nnel=7a698db0ae967010VgnVCM1000009b25680aRCRD>. 594 Autoritat Catalana de Protecci de Dades, pgina web <http://www.apd.cat>. 595 Recomendacin 1/2008 de la Agencia Catalana de Proteccin de Datos sobre la difusin de informacin que contenga datos de carcter personal a travs de Internet, Abril 2008, en <http://www.apdcat.net/media/687.pdf>.
590
174
175
Informticas, o CLI.601 Otros organismos para la proteccin de datos (de Catalua y el Pas Vasco) tambin han elaborado materiales especialmente dirigidos a los menores.602 La asociacin sin nimo de lucro CLI desarroll el proyecto "CLI-PROMETEO" con la intencin de fomentar el uso de las tecnologas de la informacin entre nios y adolescentes sin descuidar la proteccin de datos. El proyecto ha recibido la subvencin del Departamento de Industria, Turismo y Comercio y el apoyo de varias instituciones, entre ellas la AEPD.
Privacidad Territorial
Vigilancia por videocmara
La Ley Orgnica 4/1997603 regula el uso de sistemas de video vigilancia por la polica y para el control del trfico, mientras que la Ley 19/2007, de 11 de julio, contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte604 regula su uso en eventos deportivos. La Ley de Seguridad Privada de 1992605 y el Real Decreto-ley de Seguridad Privada606 regulan su uso por parte de empresas de seguridad y en los bancos. En diciembre de 2006, la AEPD public un nuevo reglamento sobre vigilancia por videocmara.607 Las imgenes obtenidas por cmaras situadas en lugares pblicos deben considerarse datos personales, y los archivos que contienen tanto imgenes como datos derivados de las mismas deben ser objeto de proteccin. Slo se recurrir a las cmaras cuando la implementacin de otros medios de vigilancia ofrezca dificultades. Deber colocarse una etiqueta distintiva en un lugar visible, y los datos obtenidos debern borrarse al cabo de un mes. Este reglamento es de aplicacin a la grabacin, transmisin, conservacin y almacenamiento, incluyendo la reproduccin en tiempo
Manuales prcticos del proyecto CLI-PROMETEO 2008-2009 <http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253706444391&language=es&pagei d=1252308394307&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaPublicacion&v est=1252308394307>. 602 Autoridad Catalana de Proteccin de Datos, Privacidad para jvenes <http://www.apdcat.net/es/contingut.php?cont_id=305&cat_id=250>; Datuak Babesteko Euskal Bulegoa - Agencia Vasca de Proteccin de Datos (Basque Data Protection Authority), Reda y Neto: Cuidando los datos personales <http://www.avpd.euskadi.net/s04-kontuzdt/es>; Agencia Espaola de Proteccin de Datos, Internet y datos personales <https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php>. 603 Ley Orgnica 4/1997, de 4 de agosto, por la que se regula la utilizacin de videocmaras por las fuerzas y cuerpos de seguridad en lugares pblicos, en <http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>. 604 Ley Orgnica 4/1997, de 4 de agosto, por la que se regula la utilizacin de videocmaras por las fuerzas y cuerpos de seguridad en lugares pblicos, en <http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>. 605 Ley 23/1992, de 30 de julio, de seguridad privada, en <http://noticias.juridicas.com/base_datos/Admin/l23-1992.html>. 606 Real Decreto-ley 2/1999, de 29 de enero, por el que se modifica la Ley 23/1992, de 30 de julio, de seguridad privada, en <http://noticias.juridicas.com/base_datos/Admin/rdl2-1999.html>. 607 Agencia Espaola de Proteccin De Dados, Instruccin 1/2006, de 8 de noviembre sobre el tratamiento de datos personales con fines de vigilancia a travs de sistemas de cmaras o videocmaras, 12 de diciembre de 2006, disponible en espaol en <http://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion_1_2006_videovigilan cia.pdf>, disponible en ingls en <https://www.agpd.es/upload/English_Resources/Instruccion%20videovigilancia%20EN.pdf>.
601
176
real y la emisin. Quedan excluidas las grabaciones para uso domstico y el uso de imgenes por los cuerpos de seguridad y la judicatura. La APDCM public la Instruccin 1/2007608 sobre el uso de vigilancia por videocmara con fines de seguridad, para controlar reas restringidas o el trfico, as como para fines sanitarios, de investigacin o cientficos. El responsable del tratamiento de los datos tiene que justificar que la vigilancia por videocmara es necesaria y comunicrselo a la APDCM para que evale la proporcionalidad. La agencia de proteccin de datos de Catalua tambin elabor una Instruccin sobre vigilancia por videocmara en 2009, segn la cual, el responsable del tratamiento est obligado a comunicar su sistema de vigilancia por videocmara a dicho organismo.609
APDCM, Instruccin1/2007 de 16 mayo 2007 sobre el tratamiento de datos personales a travs de los sistemas de cmaras o videocmaras en el mbito de los rganos y administraciones pblicas de la Comunidad de Madrid. 609 El informe debe incluir el nmero de cmaras utilizadas, si se trata de cmaras fijas o mviles, si estn colocadas a menos de 50 metros de un hospital, iglesia o escuela, as como justificar la proporcionalidad de su uso. 610 AEPD, "La AEPD abre una investigacin a Google por la captacin de datos de redes wi-fi en Espaa", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/ 100519_NP_GOOGLE_WIFI_WEB.pdf>. 611 AFP, "Spanish Judge Probes Complaint over Google's Street View (Un juez espaol investiga una denuncia a Street View de Google)", 16 de agosto de 2010. Vase tambin, "Spanish DPA Opens Infringement Procedures for Google Streetview (La AEPD inicia un procedimiento por infraccin para Streetview de Google)", EDRi-gram Nmero 8.20, 20 octubre de 2010 <http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View Faces Citizens' Reservation in EU (Street View de Google se enfrenta la reservas de los ciudadanos de la UE)", EDRi-gram Nmero 8.16, 25 agosto de 2010, <http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>; Fiona Govan, "Spain Takes on Google over Privacy Violations in Street View (Espaa se enfrenta a Google por violacin de privacidad de Street View)", The Telegraph, 17 de agosto de 2010 <http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>.
608
177
Privacidad en los viajes (documentacin de identidad de viajero, biometra, etc.) y vigilancia fronteriza
Desde agosto de 2006, todos los pasaportes expedidos en Espaa son electrnicos y contienen una etiqueta RFID.612 Los ciudadanos de los pases adheridos al Programa de Exencin de Visados (todos los pases pertenecientes al Espacio Econmico Europeo (Estados miembros de la UE + Noruega, Islandia y Liechtenstein), Suiza, Nueva Zelanda, Australia y Brunei) deben tener un pasaporte electrnico para viajar a los Estados Unidos, y todos deben cumplir los mismos requisitos tcnicos.613 En 2006, la Comisin de Libertades e Informtica (CLI) y otras asociaciones formularon objeciones a la adopcin de la tecnologa RFID en pasaportes y advirtieron de que en algunos pases se ha pirateado este tipo de pasaportes.614
Ministerio de Interior, Informacin sobre trmites / pasaporte / pasaporte electrnico <http://web.archive.org/web/20080614191030/http://www.mir.es/SGACAVT/pasaport/Pasaporte_electro nico.html>. 613 Programa de exencin de visados (Visa Waiver Program) (VWP) <http://travel.state.gov/visa/temp/without/without_1990.html>. 614 Asociacin de Internautas, "La CLI se opone a que se incrusten RFID en el futuro pasaporte electrnico y, posteriormente, en el DNI electrnico, 7 de marzo de 2006, <http://www.internautas.org/privacidad/html/3517.html>. Kriptoplis, Pasaporte hacia la inseguridad, 19 de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>. 615 Ley 59/2003, de 19 de diciembre, de firma electrnica <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/23399>. 616 Para informacin general ver <http://www.dnielectronico.es>. 617 "La Ley de la firma electrnica entra en vigor," Redes and Telecoms, 12 de diciembre de 2003, en <http://www.redestelecom.com/Actualidad/Noticias/Comunicaciones/Legislaci%C3%B3n/20031212036 >. 618 "El DNI electrnico se tramitar en Espaa el prximo ao," El Pas, 5 de mayo de 2003. 619 Direccin General de la Polica y de la Guardia Civil, El Ministro del Interior pone en marcha el sistema de certificacin del nuevo DNI electrnico, 16 de febrero de 2006 <http://www.dnielectronico.es/oficina_prensa/noticias/noticia04.html>.
612
178
expidi el 16 de marzo de 2006,620 y tras un periodo de prueba, se empezaron a expedir de manera continuada.621 En marzo de 2010, el nmero de DNIs electrnicos haba aumentado hasta los nueve millones.622 No obstante, de acuerdo con el Instituto Nacional de Estadstica, en octubre de 2009 slo el 3,4 por ciento de la poblacin haba usado su DNI electrnico para firmar transacciones electrnicas.623 La Comisin de Libertades e Informtica (CLI) denunci la falta de debate con respecto a la introduccin prevista del DNI electrnico,624 y advirti que las medidas que se van a introducir podran contravenir derechos fundamentales, tales como los de privacidad y proteccin de datos personales.625 Asimismo subray que es importante adoptar medidas de seguridad adecuadas para la introduccin de este documento de identidad, ya que puede contener elementos que permitan acceder a informacin personal delicada del titular, como ocurre con la raza o confesin religiosa en el caso de las fotografas. La CLI ha advertido de la posibilidad de que se incluya informacin relativa al ADN, y que sera ilegal que el DNI electrnico contenga informacin mdica, as como convertirlo en un documento multiusos para acceder a los servicios sanitarios, como sugiri en febrero de 2004 la ex ministra de Administraciones Pblicas Julia Garca Valdecasas.626 Desde 2009, el gobierno espaol ha lanzado varias campaas informativas acerca del DNI electrnico, subrayando los beneficios para los ciudadanos.627 El 3 de noviembre de 2009, un Real Decreto modific algunos de los requisitos para obtener los certificados de firma electrnica para el DNI.628
Etiquetas RFID
En 2006, la CLI y otras asociaciones formularon objeciones a la adopcin de la tecnologa RFID en pasaportes y advirtieron que en algunos pases se ha pirateado este tipo de pasaportes.629
Direccin General de la Polica y de la Guardia Civil, El Ministro del Interior entrega el primer ejemplar del nuevo DNI electrnico a una ciudadana de Burgos, 16 de marzo de 2006 <http://www.dnielectronico.es/oficina_prensa/noticias/noticia09.html>. 621 Direccin General de Relaciones Informativas y Sociales, "Comienza la expedicin del nuevo DNI electrnico en trece ciudades espaolas, 5 Jlio 2006 <http://www.mir.es/DGRIS/Notas_Prensa/Policia/2006/np070504.html> (comprobado por ltima vez en 2007). 622 Asociacin de Internautas, "El Uso del DNI electrnico sigue siendo escaso a pesar de haber casi 15 millones de documentos nuevos expedidos", 29 de marzo de 2010 <http://www.internautas.org/html/6078.html>. 623 "Casi diez millones de Espaoles tienen DNI electrnico, pero pocos lo usan", Expansin.com, 13 de abril de 2009, en <http://www.expansion.com/2009/04/13/funcion-publica/1239603801.html>. 624 "El DNI Electrnico no puede incluir datos personales ajenos a la identificacin," IBLNEWS, 4 de octubre de 2004. 625 "La CLI advierte que el contenido del DNI electrnico no puede incluir datos de carcter personal," Asociacin de Internautas, 20 de mayo de 2005, en <http://www.internautas.org/html/1/2934.html>. 626 Comisin de Libertades e Informtica, nota de prensa, 19 de febrero de 2004. 627 <http://www.dnielectronico.es/>. 628 Real Decreto 1586/2009, disponible en espaol en <http://www.dnielectronico.es/marco_legal/RD_1586_2009.html>. 629 Asociacin de Internautas, "La CLI se opone a que se Incrusten RFID en el futuro pasaporte electrnico y, posteriormente, en el DNI electrnico, 7 de marzo de 2006 <http://www.internautas.org/privacidad/html/3517.html>. Kriptoplis, Pasaporte hacia la inseguridad, 19 de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>.
620
179
Privacidad Fsica
No hay novedades en este apartado.
180
29/2006 del 26 de julio de 2006634 regula el uso razonable de medicamentos, algunas de sus disposiciones tratan exclusivamente sobre la proteccin de los datos personales de los pacientes. No es necesario el consentimiento del interesado para comunicar los datos personales necesarios en un sistema de informacin para la obtencin de recetas (en papel o electrnicas).
Privacidad gentica
La Ley 14/2007 del 3 de julio de 2007 de Investigacin Biomdica635 regula muchos aspectos relacionados con la informacin gentica, como por ejemplo las condiciones para eliminar la informacin gentica para fines de investigacin biomdica.
Privacidad Financiera
El 29 de junio de 2006, la AEDP abri una investigacin sobre el caso SWIFT.636 SWIFT, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Society for Worldwide Interbank Financial Telecommunication), gestiona transferencias electrnicas para bancos a nivel mundial.637 La AEDP investigaba una comunicacin de Privacy International.638 SWIFT haba estado develando informacin financiera a las autoridades estadounidenses de manera encubierta. Privacy International denunciaba que dicha actividad estaba sujeta a la Ley de Proteccin de Datos espaola, y que SWIFT gestionaba ms de 45 millones de mensajes financieros para ms de 140 bancos e instituciones espaoles.639 La AEPD se uni posteriormente a otras agencias europeas de proteccin de datos para aprobar un dictamen sobre el caso SWIFT del Grupo de Trabajo del Artculo 29.640 El dictamen concluy que SWIFT y las instituciones financieras europeas no respetaron las disposiciones de la Directiva Europea de Proteccin de Datos 95/46/EC.641
Ley 29/2006, de 26 de julio, de garantas y uso racional de los medicamentos y productos sanitarios, BOE n 178 de 27 de julio de 2006, en <http://www.redtercel.com/ficheros/Ley%20del%20Medicamento.%202006..pdf>. 635 Ley 14/2007, de 3 de julio, de Investigacin Biomdica, vase supra 113. 636 AEDP, La Agencia Espaola de Proteccin de Datos investiga las implicaciones del "caso SWIFT" en Espaa, 29 de junio de 2006 <http://www.agpd.es/upload/Prensa/Nota%20%20informativa_03_07_06.pdf>. 637 Para una informacin ms general, vase <http://www.swift.com/>. 638 Simon Davies, Denuncia: Transmisin de datos personales de SWIFT al gobierno de los Estados Unidos (Complaint: Transfer of Personal Data from SWIFT to the US Government), 27 de junio de 2006, <http://www.privacyinternational.org/issues/terrorism/swift/spain.pdf>. 639 Id. 640 AEDP, Las autoridades europeas de proteccin de datos aprueban una opinin sobre el caso "SWIFT", 28 de diciembre de 2006 <https://www.agpd.es/upload/Prensa/OPINI%D3N%20Swift_28_11_2006.pdf>. 641 Grupo de Trabajo del Artculo 29, Dictamen 10/2006 sobre el procesamiento de datos personales por la Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 de noviembre de 2006 <http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp128_en.pdf>.
634
181
Gobierno Abierto
La Ley 37/2007 de 16 de noviembre de 2007 sobre la Reutilizacin de la Informacin del Sector Pblico647 regula la posibilidad de reutilizar la informacin pblica pero sin los datos personales.
182
distintas jurisdicciones espaolas. Uno de los problemas que este escndalo ha sacado a la luz es la imposibilidad de la AEPD de imponer sancin alguna contra la administracin estatal y sus empleados, siendo su nica opcin la de declarar que existe un incumplimiento de la LOPD.648
Mnica C. Belaza, "La indiscreta basura judicial. El hallazgo de papeles de juzgados en la calle confirma que la Ley de Proteccin de Datos no se cumple. La Administracin no puede ser sancionada", El Pas.com, 31 de mayo de 2008, en <http://www.elpais.com/articulo/sociedad/indiscreta/basura/judicial/elpepusoc/20080531elpepisoc_10/Te s>; Auditta, "Abren una investigacin tras aparecer expedientes judiciales en la basura" <http://www.proteccion-datos.net/abren-una-investigaciOn-tras-aparecer-expedientes-judiciales-en-labasura.php>. 649 En <http://www.un.org/Overview/rights.html>. 650 Pacto Internacional sobre Derechos Civiles y Polticos, 16 de diciembre de1966, en <http://www2.ohchr.org/english/bodies/ratification/4.htm>. 651 Firmado el 28 de enero de 1982; ratificado el 31de abril de 1984; entr en vigor el 1 de octubre de 1985. 652 Firmado el 24 de noviembre de 1977; ratificado el 4 de octubre de 1979; entr en vigor el 4 de octubre de 1979. 653 Firmado el 23 de noviembre de 2001. 654 Red Iberoamericana de Proteccin de Datos. Para una informacin ms general, vase <https://www.agpd.es/portalweb/internacional/red_iberoamericana/index-ides-idphp.php>.
648
183
184
Reconocimientos
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for Media and Communications Studies (CMCS), se complacen en presentar la investigacin "Privacidad y Derechos Humanos en Europa" (EPHR) 2010," financiado por el Programa Especial "Derechos Fundamentales y Ciudadana" (2007-2013). EPHR investig el panorama europeo de las leyes y regulaciones nacionales de privacidad y proteccin de datos as como cualquier otra ley o recientes eventos fcticos con impacto en la privacidad. El mbito de la investigacin engloba especficamente las jurisdicciones de los 27 Estados Miembros de la Unin Europea, dos pases de la Asociacin Europea de Libre Comercio (Noruega y Suiza) y tres pases candidatos para formar parte de la Unin Europea (Croacia, Macedonia, y Turqua). La Unin Europea como jurisdiccin tambin est siendo tomada en cuenta. La investigacin consiste de 33 informes especficos, un vistazo general que presente un anlisis poltico y legal de los principales tpicos sobre privacidad, y una valoracin de privacidad para todos los pases investigados. Dependiendo del informe seleccionado, la informacin proporcionada est actualizada al periodo Mayo-Octubre de 2010. Para obtener informacin para el EPHR, se les solicit presentar informes e informacin relevante a personas conocedoras provenientes del mundo acadmico, instituciones pblicas, firmas de abogados, grupos de derechos humanos, y de otros campos. Su informacin fue complementada con investigacin adicional realizada por el equipo de investigacin del EPHR. El anlisis de los informes nacionales y las valoraciones para cada pas son el resultado del trabajo del equipo del EPHR. El EPHR se erigi sobre el legado de la publicacin de EPIC y Privacy International titulada "Privacy & Human Rights: An International Survey of Privacy Laws and Developments," ("Privacidad y Derechos Humanos: Una Investigacin Internacional sobre Leyes y Eventos vinculados a la Privacidad"), el cual es la referencia ms seria entre aquellas de investigaciones globales y comparativas sobre regulaciones y eventos sobre privacidad alrededor del mundo. Por tanto, deseamos agradecer a los siguientes colaboradores de los informes nacionales:
Expertos Nacionales que Tomaron Parte en el EPHR 2010 al Actualizar los Informes Nacionales y Proporcionar Informacin Adicional
Alemania
Werner Hlsmann, Deutsche Vereinigung fr Datenschutz & FIfF, Germany, Kristina Irion, CEU CMCS.
Repblica de Austria
Stefan Mayr, Johannes Kepler University of Linz, Austria.
185
Reino de Blgica
Fanny Coudert, Brendan Van Alsenoy, Danny De Cock, Els Kindt and Jos Dumortier, Interdisciplinary Centre for Law and ICT (ICRI) K.U. Leuven, Belgium; Alexandre Dulaunoy, Association Electronique Libre, Belgium; Nichole Rustin-Paschal, Electronic Privacy Information Center, USA, and Cdric Laurant, Center for Media and Communication Studies, Central European University, Hungary.
Repblica de Bulgaria
Alexander Kashumov, Fani Davidova and Gergana Jouleva, Access to Information Programme, Bulgaria; Plamen M. Borissov, Borissov & Partners, Bulgaria.
Repblica de Croacia
Ivan Gjurgjan, Gjurgjan & ribar Radic, Croatia; Jan Klasinc, Institute for Public Administration - iDEMO (Institute for Democracy), Croatia.
Repblica de Chipre
Nicholas Ktenas and Chrystalla Neophytou, Neocleous & Co LLC, Cyprus.
Repblica Checa
Richard Otevel, Havel & Holsek, Czech Republic.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights, Denmark; Michael Hopp, Plesner Law Firm, Denmark.
Repblica Eslovaca
Marian Lauko and Michal Marhefka, Weinhold Legal, Slovak Republic.
Repblica de Eslovenia
Matej Kovai, University of Ljubljana, Slovenia; Andrej Tomsic, Office of the Information Commissioner, Slovenia.
Reino de Espaa
Antoni Farriols Sola, Comisin de Libertades e Informtica, Spain; Ferran Adell, Universitat Autnoma de Barcelona, Spain; Javier Sempere, Agencia de Proteccin de Datos de la Comunidad de Madrid, Spain.
Repblica de Estonia
Kaupo Lepasepp y Mihkel Miidla, Sorainen AS, Estonia; Viive Nslund, Lepik & Luhar Lawin, Estonia.
Repblica de Finlandia
Ilona Terkivi, LMR Attorneys Ltd, Finland; Eija Warma, Castrn & Snellman Ltd, Estonia.
Repblica de Francia
Pascale Gelly y Caroline Doulcet, Cabinet Gelly, France.
186
Grecia
Vagelis Papakonstantinou, PKpartners, Greece; Elena Spiropoulou, Spiropoulou Law Firm, Greece.
Repblica de Hungra
Ivan Szekely, Open Society Archives at Central European University, Hungary; Mt SzaB, Office of the Commissioner for Educational Rights at Ministry of Education, Hungary; Endre Gyz Szab, Department of Judicial Cooperation and Private International Law of the Ministry of Public Administration and Justice, Hungary.
Repblica de Irlanda
Rossa McMahon, Patrick G. McMahon Solicitors, Ireland; Thomas McIntyre, University College Dublin, Ireland.
Repblica de Italia
Marco Calamari, Progetto Winston Smith, Italy; Michele Iaselli, Associazione Nazionale per la Difesa della Privacy, Italy; Ugo Pagallo, Universit degli Studi di Torino, Italy; Guido Scorza, Instituto per le Politiche dell'Innovazione, Italy.
Repblica de Letonia
Raivo Raudzeps, Sorainen, Latvia; Arturs Kucs, Department of International and European Law, University of Latvia, Latvia.
Repblica de Lituania
Henrikas Mickeviius, Human Rights Monitoring Institute, Lithuania; Mindaugas Kiskis, Mykolas Romeris University, Lithuania; Paulius Galubickas, Sorainen, Lithuania.
Luxemburgo
Olivier Reisch, Linklaters, Belgium; Jan Dhont and Thomas Daenens, Lorenz, Belgium.
Macedonia
Bardhyl Jashari, Filip Stojanovski, Vesna Paunkovska, Nade Naumovska, Elena Stojanovska and Zoran Gligorov, Metamorphosis Foundation, Macedonia.
Malta
Ian Gauci, Gatt Tufigno Gauci Advocates, Malta; Andrew J. Zammit, Zammit & Associates, Malta; Jackie Scerri, Zammit & Associates, Malta.
Reino de Noruega
Christine Hafskjold, The Norwegian Board of Technology, Norway; Lee A. Bygrave, Tobias Mahler and Thomas Olsen, Norwegian Research Center for Computers and Law, University of Oslo, Norway.
Pases Bajos
eLaw@Leiden, Center for Law in the Information Society, Leiden University, The Netherlands; Wolter Pieters, Faculty of Electrical Engineering, Mathematics and
187
Computer Science, University of Twente, The Netherlands; David Riphagen, The Netherlands.
Polonia
Andrzej Adamski and Arkadiusz Lach, Nicolas Copernicus University, Poland; Arwid Mednis Wierzbowski & Wspolnicy, Poland; Katarzyna Szymielewicz, Panoptykon Foundation, Poland.
Repblica de Portugal
Joo Lus Traa, Miranda Correia Amendoeira & Associados, Portugal.
Rumania
Ioana Avadani, Centrul pentru Jurnalism Independent, Romania; Bogdan Manolea, Association for Technology and Internet - APTI, Romania.
Reino de Suecia
Ola Svenonius, Sdertrn University, Sweden.
Suiza
Christian Thommen, Grundrechte.ch, Switzerland; Christoph Mueller, University of Zurich, Switzerland; Heinrich Busch, Switzerland.
Reino Unido
Anna Mazzola, Hickman & Rose, United Kingdom; Daniel Cooper, Mark Young, Shamma Iqbal and Philip Christofides, Covington & Burling, United Kingdom; Ross Anderson, Computer Laboratory, Cambridge University, United Kingdom.
Repblica de Turqua
Emre Berk, Bener Law Office, Turkey.
Unin Europea
Gloria Gonzlez Fuster, Law, Science, Technology & Society (LSTS) at Vrije Universiteit Brussel, Belgium; Maria Grazia Porcedda, European University Institute, Italy; Matteo E. Bonfanti, Center for Media and Communication Studies, Central European University, Hungary.
Expertos Nacionales que Fueron Parte de Anteriores Ediciones de "Privacy & Human Rights: an International Survey of Privacy Laws and Developments" ("Privacidad y Derechos Humanos: Una Investigacin Internacional sobre Leyes y Eventos vinculados a la Privacidad")
(Pases Pertinentes para la Investigacin EPHR)
188
Alemania
Ralf Bendrath, Universitt Bremen; Herbert Burkert, GMD; Ulrich Dammann, Bundesbeauftragte fr den Datenschutz; Alexander Dix, Commissioner for Data Protection and Access to Information (Brandenburg); Helmut Heil, Bundesbeauftragte fr den Datenschutz; Gerrit Hornung, Projektgruppe verfassungsvertrgliche Technikgestaltung, University of Kassel; Kristina Irion, Electronic Privacy Information Center; Detlef Nogala, Max-Planck-Institut; Fereniki Panagopoulou, Humboldt University; Jan Schallabck, Unabhaengiges Landeszentrum fuer Datenschutz Schleswig-Holstein (ULD), Independent Centre for Privacy Protection SchleswigHolstein (ICPP); Christian Schrder, Freshfields Bruckhaus Deringer; Christoph Sobotta, University of Frankfurt.
Repblica de Austria
Axel Horns, FITUG e.V. (Frderverein Informationstechnik und Gesellschaft); Albert Koellner, Andreas Krisch, Peter Kuhm, VIBE!AT (Verein fr Internet-Benutzer sterreichs); Dieter Kronegger, Arge Daten; Georg Lechner, sterreichische Datenschutzkommission; Erich Moechel, Quintessenz; Astrid Paiser, Freshfields Bruckhaus Deringer; Bettina Stomper, Quintessenz.
Reino de Blgica
Jacques Berleur, Facults Universitaires Notre-Dame de la Paix; Alexandre Dulaunoy, Association Electronique Libre; Jos Dumortier, Interdisciplinary Centre for Law & ICT (ICRI), Katholieke Universiteit Leuven; Bndicte Havelange, Anne-Christine Lacoste, An Machtens and Hugues Parasie, Commission de la protection de la vie prive/ Commissie voor de Bescherming van de persoonlijke levenssfeer; Pierre-Emmanuel Laurant, Elsewhere Entertainment; Yves Poullet and Karen Rosier, Centre de Recherches Informatique et Droit.
Repblica de Bulgaria
Fany Davidova, Marina Karakonova and Alexander Kashumov, Access to Information Programme; Veni Markovski and Dragoslava Pefeva, Internet Society Bulgaria; Nelly Ognyanova, Bulgarian Institute for Legal Development.
Repblica de Chipre
Michalis Kitromilides, Office of the Personal Data Protection Commissioner.
Repblica Checa
Pavel Cerny, Environmental Law Service (EPS); Karel Neuwirt, Ivan Prochzka and Hana Stepankova, Office for Personal Data Protection; Helena Svatosova, Iuridicum Remedium; Ondrej Veis, Charles University.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights; Mads Bryde Andersen, University of Copenhagen; Kira Kolby Christensen and Charlotte Edholm Petersen, Datatilsynet; Bo Elkjaer; Tina Fugl, Danish Data Protection Agency; Rikke Frank Joergensen and Per Helge Srensen, Digital Rights Denmark.
189
Repblica de Eslovaquia
Zuzana Babicov and Daniel Valentovic, Office for Personal Data Protection; Andrej D. Bartosiewicz, Association for Support of Local Democracy; Pavol Husar, Commissioner for the Protection of Personal Data in Information Systems; Natalia Krajcovicova, Inspection Unit for the Protection of Personal Data; Vladimir Pirosik, Environmental Lobbying Facility; Peter Wilfling, Citizen and Democracy Association.
Repblica de Eslovenia
Joze Bogataj, Data Protection Inspectorate; Sonja Bien Karlovek and Andrej Tomi, Information Commissioner; Matej Kovacic and Vasja Vehovar, University of Ljubljana.
Reino de Espaa
Rafael Fernndez Calvo, Commission for Liberties and Informatics; David Casacuberta, Computer Professionals for Social Responsibility-Spain (CPSR-Spain); Pedro Dubie, AEDIP; Emilio Aced Flez, Agencia de Proteccin de Datos; Miguel Angel Garcia, MAG (Estudios de Consumo); Eva Sanchez Guerrero, Open University of Catalonia; Beatriz Iglesias, Computer Professionals for Social Responsibility-Per(CPSR-Per); Yasha Maccanico, Statewatch; Piar-Maas and Mercedes Ortuo, Agencia Espaola de Proteccin de Datos; Arturo Quirantes, University of Granada and Computer Professionals for Social Responsibility-Spain.
Repblica de Estonia
Triinu Jaaksoo and Maarja Kirss, Data Protection Inspectorate; Kaidi Oone, Estonian State Chancellery, Department of State Information Systems; Toivo bi, Andmekaitse Inspektsioon.
Repblica de Finlandia
Reijo Aarnio and Maija Kleemola, Office of Data Protection Ombudsman; Joel Jaakkola; Jorma Kuopus, Office of the Parliamentary Ombudsman; Ville Oksanen and Mikko Valimaki, Electronic Frontier Finland.
Repblica de Francia
Anne Carblanc, Organization for Economic Cooperation and Development; Maria Farrell, International Chamber of Commerce; Marie Georges, Commission Nationale Informatique et Liberts (CNIL); Jean-Marc Manach, Journalist; Meryem Marzouki, Imaginons un Rseau Internet Solidaire; Jrme Thorel, Advisory Board, Privacy International.
Grecia
Panageas Christos, City College; Amalia Logiaki, Greek Data Protection Authority; Nikolaos K. Papadopoulos, Technological Educational Institute of Serres; Vagelis Papakonstantinou, PK Partners.
Repblica de Hungra
Zsolt Gyrgy Balogh, University of Pcs; Bela Csiszer, Budapest University of Technology and Economics; dm Fldes, Hungarian Civil Liberties Union; Gabor Freidler and Nra Horvth, Office of the Parliamentary Commissioner for Data Protection and Freedom of Information; Zoltan Galantai, Budapest University of
190
Technology and Economics; Lszl Majtnyi, Hungarian Information and Privacy Commissioner; Attila Pterfalvi, Commissioner for Data Protection and Freedom of Information; Mt Dniel Szab, Etvs Kroly Policy Institute; Ivn Szkely, OSA Archivum and Budapest University of Technology and Economics.
Repblica de Irlanda
Ronnie Downes, Irish Data Protection Agency; Aileen Harrington and Joe Meade, Office of the Data Protection Commissioner; TJ McIntyre, University College Dublin, Digital Rights Ireland; Mchel O Dowd; Antoin O'Lachtnain, Digital Rights Ireland; Elizabeth Jane Walsh, University College Cork.
Repblica de Italia
Marco Calamari, Progetto Winston Smith; Andrea Glorioso; Alessandro Monteleone; Andrea Monti, Studio Legale Monti.
Repblica de Letonia
Linda Austere, Center for Public Policy "PROVIDUS"; Aiga Balode, Data State Inspection; Anita Kovalevska, Latvian National Human Rights Office; Signe Plumina, State Data Inspection.
Repblica de Lituania
Ona Jakstaite, Barbara Jurgeleviciene, Neringa Kaktaviit and Vaida Linartaite, State Data Protection Inspectorate; Mindaugas Kiskis, Law University of Lithuania; Asta Radvilaite and Jolanta Samuolyte, Human Rights Monitoring Institute; Simonas Toliu, Law University of Lithuania; Laura Sukelyte, EU Phare Programme Twinning Project on Personal Data Protection.
Macedonia
Dance Danailovska, Open Society Institute; Bardhyl Jashari and Filip Stojanovski, Foundation Metamorphosis; Neda Korunovska, Foundation Open Society Institute; Marijana Marushic, Zoran Pandev, Vesna Paunkoska and Biljana Volceska, Directorate for Personal Data Protection.
Malta
Ian Deguara, Data Protection Commissioner's Office.
Reino de Noruega
Lee Bygrave, Institutt for rettsinformatikk (Norwegian Research Centre for Computers and Law) and Faculty of Law, University of Oslo; Gunnel Helmers, Data Inspectorate of Norway.
Pases Bajos
S. Artz and Diana Alonso Blas and Anne-Marije Fontein, College Bescherming Persoonsgegevens; Jan Holvast, Holvast & Partners; Sjoera Nas, Bits of Freedom; Maurice Wessling, Bits of Freedom and European Digital Rights.
191
Polonia
Andrzej Adamski, Nicolas Copernicus University; Sybilla Graczyk, Association of Polish Consumers; Igor Kowalewski, Dorota Rowicka, Justyna Seweryoska and Alina Szymczak, The Bureau of the Inspector General for Personal Data Protection; Ewa Kulesza, Inspector General for Personal Data Protection; Arwid Mednis, partner Wierzbowski Eversheds.
Repblica de Portugal
Clara Guerra, National Data Protection Commission; Joo Miguel Neves.
Reino Unido
Yaman Akdeniz, (previously from) University of Leeds; David Banisar, Article 19; Ian Brown, Oxford Internet Institute; David Clancy, Information Commissioner's Office; Maurice Frankel, Campaign for Freedom of Information; Alex Hamilton, Liberty; Eduardo Ustarn, Berwin Leighton Paisner.
Rumania
Virgil Cristian Cristea, Institution of the Romanian People's Advocate; Valeriu Guguianu, Ministry of Public Information; Bogdan Manolea, Association for Technology and Internet (APTI); Ioan Muraru, Avocatul Poporului.
Reino de Suecia
Alberto Escudero-Pascual, Royal Institute of Technology; Elisabeth Wallin, The Data Inspection Board.
Suiza
Heiner Busch; Christoph Mueller, University of Zurich; Felix Rauch, Swiss Internet User Group; Dag Wiese Schartum, Eliane Schmid, Federal Data Protection Commissioners Office; Kosmas Tsiraktsopulos, Swiss Data Protection Commission.
Repblica de Turqua
Nilgn Basalp and Nurcan Kaya, Istanbul Bilgi University.
Unin Europea
Kristina Irion, Center for Media and Communication Studies, Central European University.
192
Center for Media and Communication Studies, Central European University, Budapest (Hungra)
Kristina Irion, Research Director Matteo E. Bonfanti, Research Fellow Cdric Laurant, Senior Research Fellow Sarah Pipes, summer intern
193
194
Peridicos Informativos
BNA newsletter: http://ecommercecenter.bna.com; Baker & McKenzie newsletter: http://www.bmck.com/elaw/register.asp; EDRi newsletter (mostly covers European countries): http://www.edri.org/ EDPS Newsletter: http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/Newsletters
FUENTES INSTITUCIONALES
Comisionados Europeos de Privacidad
Alemania http://www.bfdi.bund.de/cln_136/Vorschaltseite_DE_node.html Antigua Yugoslavia Repblica de Macedonia e-mail: info@dzlp.gov.mk
195
Austria
Bro der Datenschutzkommission und des Datenschutzrates: http://www.dsk.gv.at
Blgica
Commission de la Protection de la vie prive: http://www.privacy.fgov.be/
Bulgaria
Commission for Personal Data Protection: http://www.cpdp.bg
Chipre http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/index_gr/index_gr? OpenDocument Croacia http://www.azop.hr/default.asp Dinamarca http://www.datatilsynet.dk/ Eslovenia http://www.ip-rs.si/ Espaa https://www.agpd.es/portalwebAGPD/index-ides-idphp.php Estonia http://www.aki.ee/est/ Finlandia http://www.tietosuoja.fi/ Francia http://www.cnil.fr/ Grecia http://www.dpa.gr/home_eng.htm Hungra http://abiweb.obh.hu/abi/ Irlanda http://www.dataprivacy.ie/
196
Islandia http://www.personuvernd.is/ Italia http://www.garanteprivacy.it/garante/navig/jsp/index.jsp Letonia http://www.dvi.gov.lv/ Liechtenstein http://www.dss.llv.li/ Lituania http://www.ada.lt/ Luxemburgo http://www.cnpd.public.lu/fr/index.html Malta http://www.dataprotection.gov.mt/ Noruega http://www.datatilsynet.no/ Pases Bajos http://www.dutchdpa.nl/ Polonia http://www.giodo.gov.pl/168/j/pl/ Portugal http://www.cnpd.pt/index.asp Repblica Checa http://www.uoou.cz/uoou.aspx Repblica de Eslovaquia http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92 Rumania http://www.dataprotection.ro/ Suecia http://www.datainspektionen.se/
197
198
Diciembre de 1990 http://www.unhcr.org/refworld/publisher,UNGA,THEMGUIDE,,3ddcafaac,0.html Comit de Derechos Humanos http://www2.ohchr.org/english/bodies/hrc/index.htm Comit de Derechos Humanos, Comentario General n. 16 http://www.unhchr.ch/tbs/doc.nsf/(Symbol)/23378a8724595410c12563ed004aeecd?Op endocument UNCTAD, Serie de Informes de Informacin Econmica http://www.unctad.org/templates/Page.asp?intItemID=3594&lang=1 Organizacin Mundial del Comercio http://www.wto.org/english/tratop_e/serv_e/gatsqa_e.htm http://www.wto.org/english/tratop_e/serv_e/_derived/sourcecontrol_gats_factfiction10 _e.htm Cmara de Comercio Internacional E-Negocios, TI y Telecomunicaciones http://www.iccwbo.org/policy/ebitt/ Grupo de Trabajo Internacional sobre Proteccin de Datos en Telecomunicaciones http://www.datenschutz-berlin.de/content/europa-international/international-workinggroup-on-data-protection-in-telecommunications-iwgdpt
Organizaciones No Gubernamentales
EPIC: http://epic.org/ Virtual Privacy Office: http://www.datenschutz.de/ Association for Progressive Communications' European Civil Society Internet Rights Project: http://europe.rights.apc.org/
199
Alemania Virtual Privacy Office (online portal) http://www.datenschutz.de/privo/ Chaos Computer Club http://ccc.de/ (in German) Forum InformatikerInnen fr Frieden und gesellschaftliche Verantwortung e.V. (Forum for Peace and Social Responsibility), http://www.fiff.de/ FoeBuD http://www.foebud.org/ Friends of Information Technology and Society http://www.fitug.de/ Independent Centre for Privacy Protection (in German) http://www.datenschutzzentrum.de Austria Austrian Association for Internet Users (NGO) http://www.vibe.at Austrian Society for Privacy and Data Protection (NGO) http://www2.argedaten.at/php/cms_monitor.php?q=AD-NEWS-LAST Quintessenz http://www.quintessenz.org/ Arge Daten http://www.argedaten.at/php/cms_monitor.php?q=PUBTEXTARGEDATEN&s=15048tpb Blgica Droit-Technologie (online portal of legal information: news, legislation, case law, law review articles and theses) http://www.droit-technologie.org/ Research Center for Computer and Law (Centre de Recherche Informatique et Droit) http://www.fundp.ac.be/droit/crid/ The Interdisciplinary Centre for Law and ICT (ICRI) K.U.Leuven http://www.icri.be Net Users' Rights Protection Association
200
http://www.nurpa.be/ Bulgaria Access to Information Programme (NGO) http://www.aip-bg.org/index_eng.htm Internet Rights Bulgaria Foundation (NGO) http://www.irbf.ngo-bg.org/en Internet Society Bulgaria http://www.isoc.bg/index_en.html Croacia CEEC: Data Protection in the Republic of Croatia http://www.ceecprivacy.org/main.php?s=2&k=croatia Dinamarca Privacy Forum, arising from Danish Industry's Privacy Task Force http://www.privacyforum.dk/ Digital Rights http://www.digitalrights.dk/ IT-Political Association http://www.itpol.dk/ Eslovaquia CEEC: Data Protection in the Slovak Republic http://www.ceecprivacy.org/main.php?s=2&k=slovakia Eslovenia Slovenian Human Rights Ombudsman http://www.varuh-rs.si/cgi/teksti-eng.cgi/Index?vsebina=/cgi/teksti-eng.cgi%3Fpozdrav Espaa Revista Datos Personales http://www.datospersonales.org
201
Estonia Estonian Informatics Centre http://www.ria.ee/atp/eng/index.html?id=712 Estonian National ID Cards http://support.sk.ee/ CEEC: Data Protection in the Republic of Estonia http://www.ceecprivacy.org/main.php?s=2&k=estonia Finlandia Protection of Privacy in Working Life, Ministry of Labour (Jan 2010) http://www.mol.fi/mol/en/03_labourlegislation/03_privacy/index.jsp Electronic Frontier Finland (NGO) http://www.effi.org/index.en.html?tmplang=en FINLEX (English translations of Finnish acts) http://www.finlex.fi/en/ Francia Juriscom.net (online portal of legal news) http://www.juriscom.net Legalis.net (online portal of legal news) http://www.legalis.net/ Droit-Tic http://www.droit-ntic.com/ IRIS (NGO) http://www.iris.sgdg.org/ Grecia The Hellenic Authority for Communication Security and Privacy (ADAE) http://www.adae.gr/portal/index.php?id=1&L=1 Hungra Hungarian Civil Liberties Union (NGO)
202
http://tasz.hu/ Etvs Kroly Policy Institute http://www.ekint.org/ekint/ekint_angol.head.page?nodeid=27 Parliamentary Commissioner's Office of Hungary http://www.obh.hu/ CEEC: Report on Data Protection Commissioner Hungary http://www.ceecprivacy.org/main.php?s=2&k=hungary Irlanda Irish Internet Association (industry organization) http://www.iia.ie/ Irish Council for Civil Liberties http://www.iccl.ie/ Italia Associazione Nazionale per la Difesa della Privacy http://difesaprivacy.blogspot.com/ Electronic Frontiers Italy (NGO) http://www.alcei.it/ Privacy.it http://www.privacy.it/ Anopticon http://tramaci.org/anopticon/ Digital Thoughts (blog addressing ICT law with emphasis on Italy) http://blog.andreamonti.eu/ Letonia CEEC: Data Protection in the Republic of Latvia http://www.ceecprivacy.org/main.php?s=2&k=latvia Human Rights in Latvia http://www.humanrights.lv/ Lituania
203
Human Rights Monitoring Institute - Lithuania http://www.hrmi.lt/ Luxemburgo Internet Society Luxembourg http://www.isoc.lu/ Macedonia Metamorphosis Foundation http://www.metamorphosis.org.mk/ CEEC: The Office for Personal Data Protection http://www.ceecprivacy.org/main.php?s=2&k=macedonia Malta Chetcuti Cauchi Advocates (law firm data protection unit) http://www.cc-advocates.com/data-protection/unit.htm Noruega Electronic Frontier Norway http://efn.no/ The Norwegian Board of Technology http://www.teknologiradet.no/FullStory.aspx?m=5 Pases Bajos Bits of Freedom (NGO) http://www.bof.nl/index_uk.html Privacy.pagina.nl (online portal) http://privacy.pagina.nl/ Polonia CEEC: Data Protection in Poland http://www.ceecprivacy.org/main.php?s=2&k=poland Inspector General for the Protection of Personal Data
204
http://www.giodo.gov.pl/138/j/en/ Privacy Protection in Data Communication Systems (government produced guide) http://techinfo.giodo.gov.pl/index-en.html Panoptycon Foundation http://www.panoptykon.org/ Repblica Checa Czech News Agency (CTK) http://www.ctk.eu/ Prague Post http://www.praguepost.cz/ Iuridicum Remedium http://www.iure.org/ Big Brother Awards CR http://www.bigbrotherawards.cz/en/english/home-eng Rumania Association for the Defence of Human Rights in Romania (NGO) http://www.apador.org/indexe.htm Romanian People's Advocate Institution Ombudsman http://www.avp.ro/indexen.html Centrul pentru Jurnalism Independent http://www.cji.ro/ Suecia Matthias Klang, Country ReportSweden, APC European Internet Rights Project http://europe.rights.apc.org/c_rpt/sweden.html Suiza Directory of compiled Federal laws and regulations (decrees) http://www.admin.ch/ch/d/sr/sr.html (in German, French and Italian) Directory of decisions of the Swiss Federal Court (Bundesgericht) http://www.polyreg.ch/##
205
Swiss "Big Brother Awards" http://www.bigbrotherawards.ch Swiss Federal Government and Administration http://www.admin.ch Turqua Publications of Dr. Yaman Akdeniz http://www.cyber-rights.org/yamancv.htm Reino Unido Campaign for Freedom of Information (NGO) http://www.cfoi.org.uk/ Foundation for Information Policy (NGO) http://www.fipr.org/ Privacy International (NGO) http://www.privacyinternational.org Privacy Laws and Business (NGO) http://www.privacylaws.co.uk/ Statewatch (NGO) http://www.statewatch.org
206