Benjamín Sevilla García, Secretario Juventud, ANEP
Los “datos personales” tienen que ver con toda aquella información respecto de un ser humano. Información que físicamente identifica a una persona, o bien, aquella información que hace que una persona sea identificable, como es el nombre, su apellido, la dirección de correo electrónico, estado civil, profesión, identidad, entre otros.
También hay “datos personales sensibles” que son todos los datos que existen sobre una persona, pero que de ser manejado de manera indebida o divulgados de forma incorrecta, le podrían ocasionar a esta persona un grave riesgo, por ejemplo: la indebida divulgación del estado de salud de una persona, la afiliación sindical, la orientación sexual o bien, las creencias religiosas que profese.
Debido a la importancia de la privacidad y la relevancia de preservar los datos personales frente a un mundo globalizado y un vertiginoso desarrollo de la tecnología, el Sistema Interamericano aborda algunos principios de particular relevancia.
Primero: La lógica que se persigue es que los datos personales deben ser recopilados solamente para fines legítimos, es decir, para aquellos propósitos que la ley expresamente indique y se deberán recoger de manera estricta por medios justos y legales. Ninguna autoridad estatal, respecto de este asunto, tiene el permiso para actuar al margen de la ley o de manera oculta. Debe indicar de manera clara y transparente cuáles son los objetivos que llevan a recopilar, usar, almacenar o divulgar los datos de una persona. No se puede obtener la información a través del engaño o actos fraudulentos.
Segundo: La regla general es que sólo se podrán obtener los datos personales con el consentimiento libre e informado de la misma persona. Este consentimiento se debe dar luego de que la persona haya recibido la información pertinente, para que no existan dudas que puedan generar incertidumbres respecto de quién o quiénes tienen acceso a esos datos; y, cuál es el procedimiento normal y legal que se debe seguir.
Tercero: La recolección de datos tiene que responder a una necesidad real y, además, este acto tiene que ser pertinente, lo que implica que los datos tienen que guardar armonía razonable con esos propósitos específicos por los cuáles se está dando la recopilación de datos.
Cuarto: La información o datos personales deben ser usados de manera limitada y su retención también tiene límites. Esto quiere decir que los datos se deben mantener por el tiempo requerido para los fines específicos y luego deben ser eliminados, ya que la retención innecesaria y excesiva de datos personales tiene evidentes implicaciones para la privacidad.
Quinto: Respecto del deber de confidencialidad, los datos no podrán ser compartidos con terceros, ni usados para propósitos que no se corresponden con aquellos para los cuales se obtuvieron. Debe atenderse no sólo la seguridad de los datos personales, sino evitar su uso y divulgación para fines distintos.
Sexto: Los datos personales deben ser protegidos de manera minuciosa para evitar el acceso no autorizado de los mismos, el uso indebido, la destrucción o la divulgación sin previa autorización o de manera irrazonable. El tema de la seguridad de los datos debe responder de manera precisa ante el constante cambio y avance de la tecnología; y, ante los ataques cibernéticos. Esto permite entender que las personas, que en aquellos casos excepcionales puedan tener acceso a los datos personales (controladores de datos), están en la obligación de asegurarlos y, además, mantener informadas a las personas de cualquier irregularidad en el manejo de estos datos.
Sétimo: Los datos que se recopilen se deben mantener actualizados, completos y exactos, pero en relación con los fines y usos legítimos para los cuales se están recopilando, esto es lo que algunos expertos denominan fidelidad de los datos.
Octavo: En todo momento las personas titulares de los datos tienen derecho al acceso y corrección de los mismos. Esto quiere decir que en cualquier momento pueden solicitar acceso a esos datos para controlar, pedir la corrección o eliminación de lo que no se ajuste a la realidad. En el eventual caso de restringirle a una persona la posibilidad de eliminar o corregir cierta información, se deberá hacer conforme a la legislación nacional y no como un acto antojadizo de los controladores.
Finalmente, es importante indicar que el error que cometen algunos controladores de datos o autoridades nacionales es que no dan seguridad diferenciada a los datos personales sensibles de los meramente personales, vulnerando con ello los aspectos más íntimos de las personas y afectando su dignidad con intromisiones innecesarias e infundadas. Lo que es peor aún, no se tienen reglas claras respecto de la responsabilidad no sólo de las medidas a implementar para que no se dé un uso indebido de los datos, sino para sentar las responsabilidades penales y administrativas que en buen Derecho corresponden cuando haya violación a estos principios.
En la misma lógica, las autoridades estatales fallan en la implementación de mecanismos de control y seguridad para manejar los datos personales en un mundo moderno en el que se presenta un impresionante flujo transfronterizo de datos. También erran, a la hora de fijar las excepciones a los principios anteriores, sobre todo cuando se trata de usar datos personales o datos personales sensibles para otros fines que no guardan relación con la soberanía nacional, la seguridad interna o externa, el combate a la criminalidad y el tan malinterpretado “orden público”. En todo caso, aun cuando se justifique excepcionalmente el uso y almacenamiento temporal de datos personales, el Estado tiene la obligación de ponerlo previamente en conocimiento a la ciudadanía y publicar dicha excepción.