LA IMPORTANCIA DE LA PROTECCIÓN DE DATOS PERSONALES EN ENTES PRIVADOS EN EL SALVADOR Taller Internacional sobre Protección de Datos Personales 6 y 7 de octubre de 2014

ART. 2 DE LA CONSTITUCIÓN: DERECHO A LA INTIMIDAD PERSONAL “Toda persona tiene derecho a la vida, a la integridad física y moral, a la libertad, a la seguridad, al trabajo, a la propiedad y posesión, y a ser protegida en la conservación y defensa de los mismos. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”.

DERECHO A LA AUTODETERMINACIÓN INFORMATIVA O INTIMIDAD INFORMÁTICA “…aquel que tiene por objeto preservar la información individual que se encuentra contenida en registros públicos o privados, especialmente la almacenada a través de los medios informáticos, frente a su utilización arbitraria…” (Amparo ).

DERECHO A LA AUTODETERMINACIÓN INFORMATIVA No se encuentra expresamente regulado por la Constitución de El Salvador. Se ha establecido jurisprudencialmente como derecho autónomo manifestación del derecho a la intimidad. Son titulares personas naturales, pero también personas jurídicas. Da lugar a varias potestades: A.R.C.O.*

EFICACIA HORIZONTAL DE DERECHO A LA INTIMIDAD Autodeterminación informativa tiene carácter de derecho fundamental. Derechos fundamentales se ejercitan frente al poder público, pero también frente a otros particulares. El Estado tiene la obligación de respetar y crear garantía para proteger estos derechos. En el caso de registros privados, jurisprudencialmente se ha desarrollado el amparo contra particulares y concretamente el habeas data.

PRINCIPIOS A LOS QUE DEBEN SUJETARSE REGISTROS Transparencia sobre uso y fines de procesamiento de datos Respeto del fin para el cual se ha dado autorización Prohibición de almacenar Deber de destrucción u olvido Veracidad y exactitud Preservación del anonimato

REGISTROS DE DATOS PÚBLICOS VS. REGISTROS DE DATOS PRIVADOS Información en registros públicos debe tener utilidad pública o colectiva. Estado tiene legitimidad para solicitar, almacenar y divulgar datos, dentro de ciertos límites. Registros privados no tiene finalidad de interés general. Los habeas data resueltos hasta la fecha son en contra de particulares.

REGULACIÓN DE REGISTROS O FICHEROS DE INFORMACIÓN PRIVADOS No hay regulación sobre quiénes pueden almacenar información. No hay regulación sobre usos que pueda darse a esa información. Actualmente LAIP establece que le compete a IAIP llevar índice y tramitar procesos. Hace falta regulación detallada.

NORMATIVA EXISTENTE INSTITUTO DE ACCESO A LA INFORMACIÓN PÚBLICA Artículo 35.- Lista de registros o sistemas de datos personales Los entes obligados que posean, por cualquier título, registros o sistemas de datos personales, deberán hacerlo del conocimiento del Instituto, que mantendrá una lista actualizada de los mismos y de la información general sobre sus protocolos de seguridad. Los entes obligados que decidan destruir un sistema de datos personales deberán notificar al Instituto, para efectos de suprimirlo de la lista.

MECANISMOS DE PROTECCIÓN I LEY DE PROTECCIÓN AL CONSUMIDOR: Artículo 21.- Obligaciones de Entidades Especializadas en la Presentación de Servicios de Información. Las entidades especializadas en la prestación de servicios de información estarán obligadas a permitir al consumidor el acceso a la información de sus datos, así como a solicitar la actualización, modificación y eliminación de los mismos, de forma gratuita. Asimismo, tendrán la obligación de corregir la información falsa, no actualizada o inexacta en un plazo máximo de diez días contados a partir de la recepción de la solicitud del interesado. Las entidades especializadas a las que se refiere el presente artículo, no podrán obtener ninguna clase de información personal del consumidor, si no es con la debida autorización de éste, y únicamente en las condiciones en que la misma haya sido conferida.

MECANISMOS DE PROTECCIÓN II LEY DE ACCESO A LA INFORMACIÓN PÚBLICA: Capítulo 3 Artículo 31.- Derecho a la protección de datos personales Toda persona, directamente o a través de su representante, tendrá derecho a saber si se están procesando sus datos personales; a conseguir una reproducción inteligible de ella sin demora; a obtener las rectificaciones o supresiones que correspondan cuando los registros sean injustificados o inexactos y a conocer los destinatarios cuando esta información sea transmitida, permitiéndole conocer las razones que motivaron su petición, en los términos de esta ley. El acceso a los datos personales es exclusivo de su titular o su representante.

MECANISMOS DE PROTECCIÓN III CONSTITUCIÓN ARTS. 2 y 247: i-amparo especial o “habeas data” ii-en contra de particulares [o el Estado] iii-admite legitimación por intereses difusos o colectivos iv-exige agotamiento vía administrativa*

ALGUNOS CASOS NACIONALES E INTERNACIONALES DE INTERÉS

CASOS DE ABUSOS EN EL SALVADOR Algunas empresas piden información personal y exigen firma de autorización para divulgar datos. No se sabe con quiénes concretamente se va a compartir. No se sabe para qué fines necesitan compartir la información. Contraviene jurisprudencia Sala de lo Constitucional. Ha habido denuncias por ventas y otros uso ilegales de bases de datos.

EJEMPLOS DE CASOS SANCIONADOS POR TDC (Resolución del 1 de febrero de 2013)

CASO GOOGLE ESPAÑA Ciudadano X obtuvo una resolución de la AEPD para que Google Inc. Google España RL eliminaran información personal. Google Inc. y Google España apelaron a Audiencia Nacional. Audiencia Nacional estimó que solución del caso implicaba interpretación de Directiva Europea 95/46 sobre protección de datos. TJUE resolvió el 13 de mayo de 2014 en caso C que Google Inc. y Google España debían eliminar links a páginas que contenían información que el peticionante deseaba retirar ya que el derecho al olvido es parte del derecho de autodeterminación informativa

DECISIÓN DEL 13 DE MAYO DE 2014, C-131/2012 DEL TRIBUNAL DE JUSTICIA EUROPEO Decisión se basa en interpretación de la Directiva 95/46 y su aplicación a motores de búsqueda. Se desarrollan los siguientes conceptos: 1)Datos personales 2) Tratamiento de datos personales 3) Responsable de datos personales 4) Aplicación normativa española

CASO GOOGLE FRANCIA Los ciudadanos X y Z ganaron un juicio por difamación en Francia. Solicitaron a google que retirara los links que llevaban a esta información. Google solo la removió de Tribunal de Gran Instancia de París ordenó el 16 de septiembre de 2014 a Google que la retirara de todos los motores de búsqueda Google

EFECTOS MÁS AMPLIOS DE ESTA DECISION DEL TRIBUNAL EUROPEO Google ha puesto a disposición un formulario para todos ciudadanos de países miembros UE para solicitar retiro de datos personales Google ha creado un Comité Consultivo de expertos, para implementar decisión del TJUE el cual está realizando foros públicos en varios países europeos (Consulta española del 9 de septiembre de 2014)

PENDIENTES: Hay 2 anteproyectos de ley de Habeas Data presentados en la Asamblea Legislativa que deben revisarse. Hay regulación insuficiente, dispersa, con muchos vacíos. Debe regularse en detalle en una ley general de protección de datos con especial referencia a registros particulares. Debe articularse con LAIP.

¡ MUCHAS GRACIAS