OBJETIVOS DEL CURSO Propósito: Conocer y analizar algunos de los principales referentes internacionales para México en materia de protección de datos personales, con referencia a materias específicas que resulten relevantes para la configuración normativa de este derecho en nuestro país. Objetivos específicos: (a)Analizar las instituciones, el marco normativo y algunos casos notables en materia de protección de datos personales en los sistemas de derechos humanos. (b)Analizar las instituciones, el marco normativo y algunos casos notables en materia de protección de datos personales desde la perspectiva del derecho comparado.

 La protección de datos personales en la UE  Introducción  Instituciones comunitarias  Marco normativo  Resoluciones y dictámenes relevantes

Dictamen del SEPD sobre gobernanza en internet (1) Dictamen del SEPD sobre la Comunicación de la Comisión “La política y la gobernanza de internet- El papel de Europa en la configuración de la gobernanza de internet” (2014/C 246/04), del 23 de junio de Antecedentes  El 12 de febrero de 2014 la Comisión Europea publica una Comunicación sobre la política y gobernanza de internet (Comunicación) y sólo posteriormente a su publicación se emite el Dictamen del SEPD quien manifiesta su conformidad con la misma.  La Comunicación destaca las ventajas de Internet para el crecimiento económico, el comercio, la innovación, la democracia y los derechos humanos.  Sostiene la importancia de la “gobernanza de Internet” sostenible:  Implica una participación plural y se entiende, como el “desarrollo y la aplicación por parte de los gobiernos, el sector privado y la sociedad civil, en el desempeño de sus respectivos papeles, de principios, normas, reglas, procedimientos de toma de decisiones y programas comunes que dan forma a la evolución y a la utilización de Internet”.  Sin embargo, la Comunicación destaca que la revelación de la existencia de programas de vigilancia a gran escala y el miedo a la delincuencia informática han afectado negativamente a la confianza en Internet.

Dictamen del SEPD sobre gobernanza en internet (2) Posición de la Comunicación:  Internet debería permanecer como una red de redes única, abierta, libre y no fragmentada.  Su gobernanza debe estar basada en un modelo de gobernanza multilateral integrador, transparente y responsable, sin perjuicio de una regulación dirigida a objetivos de interés público (como el respeto a los Derechos Humanos, los valores democráticos, la diversidad cultural y lingüística y el cuidado de personas vulnerables).  Debe estar basado en una arquitectura tecnológica sólida que genere confianza y facilite su gobernanza transparente tanto de su infraestructura subyacente como de los servicios que en ella se ofrecen.  Su diseño puede tener un impacto en los derechos humanos:  Seguridad  Protección de datos de los usuarios  Capacidad para acceder al conocimiento y a la información  Libertad de expresión en línea

Dictamen del SEPD sobre gobernanza en internet (3)  Cada vez son más las actividades que tienen lugar en la red que contravienen directamente el ejercicio de los derechos fundamentales:  Delincuencia informática  Abusos de menores en la red  Usurpación de identidad  Ataques informáticos  Fraude mediante métodos de pago distintos al efectivo  Otras formas de procesamiento de datos personales ilegales  En consecuencia, la Comisión propone una base para una visión europea común de la gobernanza que:  Defienda y promueva los derechos fundamentales y los valores democráticos  Promueva una red única y no fragmentada, sujeta a las mismas leyes y normas  Donde los principios subyacentes sean la transparencia, la rendición de cuentas y la inclusión de la forma en que se gestiona Internet  ¡¡Los derechos humanos no son negociables y deben quedar protegidos en línea!!

Actividad 2. De acuerdo con la Comunicación sobre la política y la gobernanza de internet de la Comisión Europea y la adherencia del SEPD, responda las siguientes preguntas:  ¿Considera que cada país debe establecer una normatividad detallada sobre el uso de internet? ¿Por qué?  En su opinión, ¿considera que por motivos de seguridad se justifica el acceso y la vigilancia masiva de datos personales como lo ha hecho EEUU con el cyberespionaje? Justifique su respuesta.  ¿Quién debe establecer los principios, procedimientos y bases para la gobernanza de internet?

Sentencia del Tribunal de Justicia sobre la transferencia de datos de usuarios de aerolíneas a los EEUU Sentencia del Tribunal de Justicia en los asuntos acumulados C-317/04 y C-318 de 30 de mayo de Antecedentes  A raíz de los atentados del 11/09/2001, los EEUU adoptaron una normativa en virtud de la cual las compañías aéreas que operen en rutas con destino u origen o que atraviesen su territorio están obligadas a facilitar a las autoridades estadounidenses un acceso electrónico a los datos contenidos en los sistemas de reserva y control de salidas (passanger name records).  Considerando que estas disposiciones podían ser contrarias a la normativa comunitaria, la Comisión inicia negociaciones con las autoridades estadounidenses, En consecuencia, el 14 de mayo de 2014 la Comisión adopta la Decisión sobre el carácter adecuado de la protección, en la que considera que el Servicio de Aduanas y la protección de fronteras de EEUU garantiza un nivel de protección adecuados de datos del sistema de reserva y control de salidas, de conformidad con la Directiva 95/46/CE.  Por su parte, el Consejo de la UE adopta una Decisión en la que aprueba la celebración de un Acuerdo entre la Comunidad Europea y EEUU sobre el tratamiento y la transferencia de datos del sistema de reserva y control de salidas por las compañías aéreas establecidas en la UE.  El Parlamento Europeo, en coadyuvancia con el SEDP, solicita al Tribunal se pronuncie sobre la legalidad de las Decisiones tanto de la Comisión como del Consejo.  ¿Se vale argumentar que por razones de seguridad y de acuerdo con la normativa estadounidense pueden transferirse estas bases de datos?

Sentencia del Tribunal de Justicia sobre la transferencia de datos de los usuarios de aerolíneas a los EEUU Resolución  Sobre la Decisión de la Comisión sobre el carácter adecuado de la protección, el Tribunal considera que no podía válidamente adoptarse pues la Directiva 95/46/CE no le resulta aplicable al tratamiento de datos personales que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado y las actividades del Estado en materia penal. Por tanto, el Tribunal anula dicha Decisión.  Sobre la Decisión del Consejo por la que se aprueba la celebración del Acuerdo, el Tribunal aplica las mismas consideraciones: no resulta aplicable la Directa 95/46/CE y, por ende, el Consejo no tiene una base para ejercer dicha competencia de la Comunidad.  Obsérvese que la resolución del Tribunal de Justicia sólo atiende a cuestiones formales (como la competencia de las instituciones comunitarias y el ámbito de validez material de las normas comunitarias) pero evade responder a las interrogantes de fondo del asunto.

Actividad 3. Pretendiendo que el Tribunal de Justicia hubiere abordado las cuestiones de fondo del asunto y considerando que las reformas en materia de protección de datos pretenden dotar de generalidad la normativa en materia de protección de datos ¿cuál hubiera sido su respuesta ante las siguientes interrogantes?:  ¿Se vale permitir que por razones de seguridad puedan transferirse los datos de usuarios de aerolíneas al gobierno de un Estado afectado por un acto de terrorismo?  En cualquier caso, ¿daría mayor legitimidad a la transferencia si se trata de un acuerdo de voluntades entre las instituciones comunitarias y el gobierno estadounidense? Obsérvese que esto representa una diferencia sustancial con casos de espionaje estadounidense para la vigilancia masiva de datos.  Y finalmente, ¿podría legitimarse la transferencia si efectivamente se verifica que el tratamiento de datos personales que realiza el Servicio de Aduanas y Protección de Fronteras estadounidense es adecuado?.

La perspectiva norteamericana La seguridad pública y la protección de la privacidad se presentan como opuestos. El resultado es un juego de suma cero (lo que uno gana el otro lo pierde). La Ley Patriótica (26/10/2001) restringe los derechos constitucionales, ampliando el poder del Estado para “garantizar la seguridad”. Hay fuertes críticas por organismos internacionales de derechos humanos

La perspectiva europea Existe una posición conciliadora entre derechos. El combate al crimen requiere eficiencia y rapidez, pero no puede pasar por encima del ciudadano, de sus derechos y libertades.  Se requiere la protección de los derechos humanos al mismo tiempo que la utilización proporcional y justa de los mecanismos para combatir el crimen. Las TIC deben responder a las posibles amenazas a la violación de la privacidad. El abuso en el tratamiento de datos personales puede llevarse a cabo por la iniciativa privada, la autoridad y los criminales (organizados o no). Cualquier política democrática de seguridad pública debe contemplar simultáneamente una estricta protección de los datos personales (y acceso a la información pública).

La perspectiva en nuestro sistema jurídico Nuestra Constitución reconoce una posible tensión o conflicto entre derechos fundamentales (seguridad pública vs. Protección de datos personales) Le otorga un carácter preponderante a la seguridad pública, pues ésta constituye una condición necesaria para que toda persona pueda disfrutar efectivamente de sus derechos. Lo cual no implica que el combate al crimen pueda darse al margen de otros derechos fundamentales. El límite al derecho a la protección de datos personales tendría que ser proporcional a la necesidad de la medida adoptada. La autoridad no tiene por qué saber mas que aquello que le es indispensable para el desempeño de sus funciones. La autoridad no tiene por qué dar a conocer información confidencial de delincuentes o presuntos delincuentes a terceros si no existe un peligro real y efectivo de seguridad. ¡¡El daño debe ser mayor al daño del titular!!

Sentencia del Tribunal de Justicia en el caso Google (de 13 de mayo de 2014). Hechos Hechos:  En 2010 un ciudadano español interpuso una demanda en contra de un periódico español y de la Compañía Google Estaña y Google Inc., con el apoyo de la Agencia Española de Protección de Datos.  El ciudadano español argumenta que los resultados que arroja el motor de búsqueda sobre su persona infringen su derecho a la privacidad toda vez que han pasado varios años y la referencia es totalmente irrelevante. Por lo tanto pide tanto al periódico como a Google que sus datos sean borrados.  La Corte española solicita la opinión del Tribunal de Justicia sobre lo siguiente:  Territorialidad. ¿El derecho de la UE le aplica a Google España aún cuando se trata de una compañía cuyo servidor (procesador de datos) está en EEUU?  Aplicabilidad de normas a buscadores. ¿Las normas relativas al tratamiento de datos personales, como la Directiva 95/46/CE, le son aplicables a cierta maquinaria como Google o a quien sube la información? ¿Es responsable el prestador del servicio de motor de búsqueda?  Derecho al olvido. ¿Una persona tiene derecho a solicitar que su información personal sea removida de un buscador? (the right to be forgotten)

Sentencia del Tribunal de Justicia en el caso Google (de 13 de mayo de 2014). Resolución Resolución:  Sobre la territorialidad: Aún cuando el servidor de una compañía procesadora de datos esté físicamente localizada fuera de Europa, las reglas de la Unión Europea le resultan aplicables si tiene una filiar o subsidiaria en alguno de los EM que promueva la venta de espacios de publicidad ofrecidos por esta compañía.  Sobre la aplicabilidad de las normas de la UE a los buscadores: Los buscadores son controladores de datos personales. De esta forma Google no puede escaparse de su responsabilidad ante el Derecho Europeo diciendo que es un buscador y la responsabilidad es de quien sube la información.  Sobre el derecho al olvido: Las personas tiene derecho a pedir que se remuevan los links que lleven a su información personal, bajo ciertas condiciones:  La información sea inadecuada, imprecisa, irrelevante o excesiva para los propósitos de su tratamiento.  El derecho al olvido no es absoluto, requiere un balance frente a otros derechos fundamentales tales como la libertad de expresión y de medios.  Por lo tanto, se requiere un case-by-case assessment que considere (a) el tipo de información en cuestión, (b) la sensibilidad para la vida privada de los individuos y (c) el interés público en tener acceso a esa información, así como (d) el rol que la persona cuya información se desea eliminar presenta en la vida pública.

Sentencia del Tribunal de Justicia en el caso Frantisek Rynes (de 11 de diciembre de 2014). Hechos Hechos:  El Sr. Rynes y su familia habían sufrido reiteradas agresiones, por lo que deciden instalar en su vivienda familiar una videocámara que filmaba imágenes de la entrada de la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente. Lo anterior con el propósito de salvaguardar los bienes, la salud y la vida de él mismo y de su familia.  En una noche del 2007, un proyectil lanzado con un tirachinas rompió una ventada de la vivienda. Las grabaciones de la cámara de video entregadas a la policía permitió identificar a dos sospechosos, contra quienes se incoaron los procedimientos penales.  Uno de los sospechosos cuestiona ante la Agencia Checa de protección de datos la legalidad del tratamiento de los datos grabados por la videocámara de vigilancia del Sr. Rynes.

Actividad 4. Responda las siguientes preguntas que darán lugar a la decisión del Tribunal:  ¿El video grabado por el Sr. Rynes constituye un dato personal?  ¿La vigilancia mediante una videocámara constituye un tratamiento de datos personales?  De acuerdo a los hechos ¿considera que se trata de una grabación efectuada por una persona física en el ejercicio de actividades exclusivamente personales o domésticas? Esto es relevante para determinar la aplicabilidad de la normatividad en materia datos personales.

Sentencia del Tribunal de Justicia en el caso Frantisek Rynes (de 11 de diciembre de 2014). Resolución Resolución:  “… la utilización de un sistema de cámara de video, que da lugar a la obtención de imágenes de personas que luego se almacenan en un dispositivo de grabación continuada, como un disco duro, sistema de videovigilancia instalado por una persona física en su vivienda familiar con el fin de proteger los bienes, la salud y la vida de los propietarios de la vivienda y cuya vigilancia cubre también el espacio público, no constituye un tratamiento de datos efectuado en el ejercicio de actividades exclusivamente personales o domésticas a efectos de la … Directiva (95/46/CE).”