1. Introducción.
El desarrollo de las tecnologías en los últimos años ha ido
creciendo en forma constante e ininterrumpida. Pocos acontecimientos tecnológicos han
producido un impacto económico, social, cultural y legal tan amplio y profundo,como el
impulsado por el avance y la difusión mundial de la información y su tratamiento. El
Siglo XXI, caprichosamente, parecería haberse adelantado algunos años con la llamada
"revolución digital".
Las categorías jurídicas ya no dan respuestas acabadas a una
miríada de problemas. En medio de este caos, entendido no tanto como un sistema aleatorio
sino como uno inestable, y en un contexto en el que la informática y las
telecomunicaciones se han fusionado dando nacimiento a la telemática, emerge el problema
de los datos personales. Estos se han convertido en un preciado bien de consumo que se
comercializa en el mercado, resultando afectado el derecho a la privacidad.
Una sociedad altamente informatizada, en la que prácticamente
cada acto que realizamos queda registrado en alguna base de datos, en la que la
implementación de cámaras de vigilancia se está transformando en algo cotidiano, puede
dar nacimiento, cuando menos, a una sociedad de cristal, en la que todas las conductas
serán observadas y registradas. En una sociedad de tales características, cada acto que
realicemos dejará una huella indeleble en nuestra ser, siendo imposible evitar la
estigmatización y su consiguiente encasillamiento. Se dará una suerte de
"panóptico", tal como fue pensado por Foulcault, que no cesará de
vigilarar, condicionando nuestras formas de vida.
En este orden de ideas, deviene imprescindible brindar una
adecuada protección al derecho a la privacidad, sin dejar nunca de lado la búsqueda del
justo equilibrio entre el derecho a la privacidad y el derecho a la libre circulación de
la información, ya que éste resulta esencial para que aquellos que se
mueven en el terreno comercial puedan competir y ofrecer un servicio adecuado a las
necesidades del cliente.
Es por ello bienvenida la media sanción del senado ya que
consolida el derecho a la privacidad y nos proporciona herramientas para
defenderlo. Sin perjuicio de su noble propósito, deviene necesario estudiar su
efectividad, en este caso, el tema de la transferencia internacional de datos.
2. La transferencia internacional de datos personales.
El proyecto de ley nos dice:
Art. 12.- (Transferencia internacional)
1.- Es prohibida la transferencia de datos personales de cualquier
tipo con países u organismos internacionales o supranacionales, que no proporcionen
niveles de protección adecuados.
2.- La prohibición no regirá en los siguientes supuestos:
Colaboración judicial internacional;
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del
afectado, o una investigación epidemiológica, en tanto se realice en los términos del
inciso e) del artículo anterior;
Transferencias bancarias o bursátiles, en lo relativo a las
transacciones respectivas y conforme la legislación que resulte aplicable;
Cuando la transferencia se hubiere acordado en el marco de
tratados internacionales en los cuales la Argentina sea parte;
Cuando la transferencia tenga por objeto la cooperación
internacional entre organismos de inteligencia para la lucha contra el crimen organizado,
el terrorismo y el narcotráfico. Dada la extensión del tema, dejaremos de lado el
estudio de las excepciones y nos abocaremos a dilucidar qué se entiende por niveles de
protección adecuados. A fin de dar respuesta acabada a tal interrogante, es útil ver
qué dicen aquellos que cuentan con mayor experiencia en el tema. Me refiero a la
Comisión Europea, la cual se ha expedido acerca de la Directiva 95/46/CE, inspiradora de
nuestro proyecto de ley.
2.1. Criterios a aplicar a fin de determinar el grado de
protección existente en el país receptor.La Comisión Europea[1] sostiene que el
análisis debe hacerse en dos niveles: El del contenido de las leyes aplicables y el de
los medios que aseguren su efectividad.
a. Contenido de las leyes foráneas a aplicar:
Las leyes foráneas a aplicar deben contener aquellos principios
generales relativos a la protección de datos que el proyecto contempla, tales como los
que hacen a la licitud,finalidad, calidad, pertinencia, etc.. de los datos, así como
también debe reconocer en cabeza de los titulares de los datos la facultad de ejercer
acciones que les permitan defender el derecho a la privacidad. En resumen, deberá contar
con un cuerpo normativo que reconozca el derecho a la privacidad y se encuentre
debidamente positivizado.
b. Procedimientos y mecanismos que aseguren el cumplimiento de las
normas:
La existencia de las normas que consagren el derecho a la
privacidad no alcanza para considerar que determinado país tenga un nivel de protección
adecuado. Tres nuevas dimensiones deben cumplirse:
I. Alto nivel de acatamiento a las leyes: Un buen sistema es aquel
en el que los responsables de los bancos de datos conocen sus obligaciones y los titulares
de los datos sus derechos y la forma de ejercerlos. La existencia de sanciones efectivas y
disuasivas jugará un papel importante en asegurar el respeto por las leyes.
II. Provisión de apoyo y ayuda a los titulares de datos: Los
medios para ejercer los derechos deben ser rápidos y eficientes, sin que existan ningún
tipo de obstáculos que entorpezcan innecesariamente su viabilidad.
III. Existencia de remedios legales: Todo aquél que sufra un perjuicio al haberse violado
su derecho a la privacidad debe contar con un medio rápido y expedito que lo habilite a
resarcirse y sancionar al infractor. Luego de haber analizado tanto el contenido de las
leyes como los mecanismos que aseguran su acatamiento, se podrá determinar si el marco
legal de un país es el adecuado,y, cuando corresponda, efectuar la transferencia.
Los problemas surgen en los países que no han optado por dictar
leyes uniformes que protejan los datos personales al considerar que la auto-regulación es
la forma apropiada de abordar el tema, tal como ocurre en Estados Unidos.En efecto, la
política de los Estados Unidos, a pesar de haber dictado normas sectoriales que protegen
la privacidad, es no interferir el normal desenvolvimiento del mercado mediante el dictado
de leyes que pueden llegar a entorpecer el desarrollo del comercio y dejar que las mismas
las fuerzas intrínsecas del mercado se encarguen de obligar a las empresas a cumplir
ciertas pautas mínimas de comportamiento. Así, aquellas empresas que no cumplan, por
ejemplo, con los códigos de conductade su sector no sólo perderán clientes,
pudiéndose, en un mundo digital, divulgarse rápidamente tal hecho,condenando al
responsable al ostracismo, sino también ser pasibles de sanciones propias de su sector
por tal violación.
Tal vez, más que razones de índole jurídica, sean los
expresados motivos económicos los que lleven a las empresas a cumplir con ciertas reglas
de conducta que protejan la privacidad.En estos casos, el análisis, pues, no se reducirá
a contemplar la legislación del país en cuestión sino que deberá estudiarse el sector
específico en el que se encuentra el organismo receptor y aplicar,en el supuesto de que
exista un código de conducta, los criterios mencionados a fin de determinar si estos
proporcionan un nivel de protección adecuado.
¿Qué pasa con aquellos países o sectores no contemplados en los supuestos mencionados,
es decir, ni tienen leyes adecuadas ni implementaron códigos de conducta? ¿Existe algún
medio en virtud del cual se pueda transmitir datos a empresas situadas en aquellos
países? Entendemos que sí. En estos supuestos, el vacío legal se llena mediante la
instrumentación de contratos, situación no contemplada por nuestro proyecto.
2.2. La solución contractual.
La Directiva 95/46/CE de la Unión Europea contempla tal supuesto
estableciendo en su artículo 26, segundo párrafo, que "...los Estados miembros
podrán autorizar una transferencia...a un tercer país que no garantice un nivel de
protección adecuado...cuando el responsable del tratamiento ofrezca garantías
suficientes respecto de la protección de la vida privada, de los derechos y libertades
fundamentales de las personas, así como respecto al ejercicio de los respectivos
derechos; dichas garantías pueden derivarse, en particular, de cláusulas contractuales
apropiadas..."
Esta excepción permite a las empresas continuar con el desarrollo
de sus actividades normalmente, sin que un cuerpo normativo rígido e inflexible
obstaculice las operaciones comerciales típicas de esta época en la quelas partes muchas
veces están sujetas a distintos regímenes legales.El contrato, pues, deberá asegurar
quelos datos personales transferidos gozarán de la protección adecuada. A fin de
determinar si el contrato es idóneo, se lo analizará utilizando los criterios
anteriormente mencionados.Ya se han solucionado situaciones conflictivas mediante esta
modalidad, tal como ocurrió en Alemania con el contrato celebrado entre German Railway y
Citibank. En 1994 los trenes fueron privatizados en Alemania y convertidos en una
corporación pública: German Railway. Esta entidad empezó a ofrecer un sistema de
descuentos mediante la entrega de tarjetas plásticas a los pasajeros (Railwaycard).
Inmediatamente celebra un contrato con Citibank mediante el cual se estableció que todas
las Railwaycards se transformarían en tarjetas de crédito VISA sin costo alguno. Las
tarjetas eran confeccionadas en el estado de Nevada, Estados Unidos, lo cual introdujo el
peligro potencial de que los datos personales a utilizar en la producción de tarjetas
fuesen comercializados para ser usados en marketing directo por los norteamericanos.Ello
motivo la intervención de las autoridades alemanas quienes consideraron que Estados
Unidos no proporcionaba un nivel de protección adecuado, razón por la cual la
transferencia de datos debía ser detenida. En 1996 German Railway y Citibank
celebraron un nuevo contrato estableciendo que German Railway sería responsable de los
datos recolectados para ser utilizados por el servicio ferroviario, mientras que Citibank
se haría cargo de los datos crediticios. Ambos responderían por el mal uso que le diesen
a los datos relacionados con el nombre y la dirección del titular de la tarjeta. Las dos
compañías acordaron someterse a la ley alemana. A pesar de que el titular de los datos
no fue parte en tal contrato, se le confirió el derecho de peticionar ante las
autoridades alemanas en caso de ver perjudicados sus derechos.Las autoridades entendieron
que los derechos de los titulares se encontraban debidamente protegidos y aceptó la
solución ideada. Mediante la solución contractual, ambas compañías pudieron continuar
trabajando juntas y los derechos de los titulares de los datos se vieron protegidos. Sin
embargo, esta solución parece no dar respuesta a todos los inconvenientes que genera el
tráfico comercial en un mundo globalizado.
3. Desafíos tecnológicos:
La tendencia mundial a liberalizar el mercado de las
telecomunicaciones, sector de vital importancia en la era de la información ya que es el
medio a través del cual circula el tráfico de información, no es nada nuevo. En Estados
Unidos se dictó la 1996 US Telecom Act, mientras que en la Unión Europea la Directiva
96/19/EC. Argentina sigue el mismo rumbo.
El criterio aludido rige también en los acuerdos internacionales puesto que la globalidad
del tema exige normas de alcance mundial. Es por ello que el GATS, en el anexo de las
telecomunicaciones, requiere de los estados signatarios la adopción de medidas que
tiendan a eliminar progresivamente las restricciones nacionales que impiden la libre
incorporación de nuevos actores y una libre competencia. Las redes de telecomunicaciones
son la columna vertebral de la revolución digital. A través de las redes circula
información a grandes velocidades, información que no reconoce límites ni fronteras.
Con la implementación de la tecnología digital, la capacidad de las redes aumenta
notablemente y un mayor volumen de información puede ser transmitido. La tecnología
digital permite el fenómeno de la convergencia, es decir, la posibilidad que diversos
servicios puedan ser enviados en distintos tipos de redes. Así, las empresas de cables
pueden ofrecer servicios telefónicos y mediante las redes telefónicas se podrán enviar
imágenes. Por su lado, las editoriales pueden ofrecer sus productos on-line en Internet.
A través de diversas redes (Redes telefónicas, cable,fibra
óptica, espectro radioeléctrico, etc.) el flujo de información no cesa de circular.
Textos,imágenes, sonidos, video. Ya nada es óbice para que cualquier persona conectada a
una red pueda acceder a todo tipo de información en forma instantánea. La información
se encuentra en todos lados y en ninguno. Ya no existen límites para su distribución y
todo intento de controlar su flujo, sobre todo el estatal, deviene fútil. Internet ya fue
utilizado más de una vez como medio para hacer público un reclamo.[2] Ante tal escenario
nos preguntamos qué método se pueden implementar para evitar que datos personales sean
transmitidos a otros países u organismos internacionales o supranacionales. No existe tal
método. No hay nada que el Estado o los particulares puedan hacer para impedir la
circulación de datos por las redes. Lo que sí puede hacerse es desmotivar a quien
pretenda hacerlo violando la ley, mediante la aplicación de sanciones.
Sin embargo, dada la globalidad del problema, también cabe preguntarse acerca de la
efectividad de las leyes nacionales y su intención por controlar el flujo de
información. En efecto, las leyes pueden burlarse ofreciendo datos personales desde
"paraísos informáticos", países donde la ley nada dice acerca de tales
conductas, tarea nada complicada dada la existencia de las tecnologías y redes
mencionadas (Ej. Internet). Este problema sólo podrá ser resuelto mediante la
armonización internacional de leyes. En la medida en que todas las leyes no establezcan
los mismos criterios rectores, surgirán los ya mencionados paraísos informáticos,
fácilmente accesibles desde cualquier lugar del mundo, desde los cuales se podrán
comercializar datos personales sin recibir sanción alguna. El dictado de leyes similares,
que contemplen los mismos derechos y deberes, es la única salida viable que se nos
presenta.
4. Conclusiones:
La prohibición a transferir datos personales a países u
organismos internacionales o supranacionales no es sino la arista internacional de una
política tendiente a proteger los datos personales y consolidar el derecho a la
privacidad. La coexistencia de diversos regímenes legales nos obliga a buscar soluciones
pacíficas que no perjudiquen el normal desenvolvimiento del comercio. Así las cosas, la
ausencia normativa podrá ser suplida por contratos que respeten principios básicos y no
desconozcan los derechos de los titulares de los datos. Sin embargo, no podemos negar que
vivimos en una época en la que los efectos de la globalización y aplicación de nuevas
tecnologías han transformado los esfuerzos del Estado en tibios intentos de imponer
cierto orden en un mundo que está viviendo una transformación sin precedentes. Es
necesaria, pues, cierta coordinación en el ámbito mundial. Se necesitan acuerdos
internacionales que pongan fin a las disparidades legales existentes y configuren
escenarios previsibles y adecuados. Mientras tanto, en el período de transición, la
implementación de la solución contractual, si bien no soluciona el problema, nos brinda
una elegante salida que nuestros legisladores deberían considerar.
[1] EUROPEAN COMISIÓN. Directorate General XV. Working Document-
Transfer of Personal Data to Third Countries: Applying Articles 25 and 26 of the EU Data
Protection Directive. July 1998.
[2] El caso de Chiapas es el más ilustrativo. El subcomandante.
Marcos aprovecho el alcance y la imposibilidad de controlar el contenido de la red para
poner en conocimiento del mundo sus peticiones.
