Protección de Datos Personales by Transparencia Estado de México

Información y Protección de Datos

Revista del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios

Infoem

Directorio

Mtra. Zulema Martínez Sánchez Comisionada Presidenta

Dra. Eva Abaid Yapur

Mtro. José Guadalupe

Comisionada

Luna Hernández Comisionado

Mtro. Javier Martínez Cruz

Mtro. Luis Gustavo

Comisionado

Parra Noriega Comisionado

Información y Protección de Datos

Información y Protección de Datos Revista del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios Pino Suárez S/N, actualmente Carretera Toluca-Ixtapan No. 111, Col. La Michoacana, Metepec, Estado de México, C.P. 52166 Teléfono: (722) 2 26 19 80 Centro de Atención Telefónica: 01 800 821 04 41

www.infoem.org.mx Número 2, noviembre de 2018 Diseño editorial y cuidado de la edición: DCCPP Hecho en México Las opiniones vertidas en los artículos incluidos en esta revista son responsabilidad exclusiva de cada uno de los autores

Infoem

Contenido Presentación México y su responsabilidad global tras el Convenio 108

9 11

Mtro. Javier Martínez Cruz Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Dra. Ximena Puente de la Mora La adhesión de México al Convenio 108 del Consejo de Europa

Mtro. Miguel Recio Gayo Impacto de las TIC en la administración pública

Dr. Felipe Eduardo Rotondo Tornaría Sobre los autores

Infoem

Presentación El Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios (Infoem) sostiene un firme compromiso con la garantía, el respeto, la difusión y el fortalecimiento de los dos derechos fundamentales bajo su tutela. Por esta razón, la construcción de canales de comunicación con la sociedad y con las instituciones públicas mexiquenses se ha convertido en una prioridad, pues permite abrir el diálogo, compartir nuevas experiencias y formular propuestas encaminadas a enriquecer el panorama en el cual estos derechos se hacen valer. Para el Infoem, establecer vínculos dinámicos y vigorosos con todos los sectores demográficos de la entidad representa una valiosa oportunidad de crecimiento institucional, que se refleja en la consolidación de diversas estrategias, como la creación de un programa editorial. Éste permite generar y difundir conocimiento en materia de transparencia, acceso a la información pública y protección de los datos personales desde una perspectiva plural y multidisciplinaria, encaminada al análisis del panorama actual en el que se desarrollan estos temas. En esta tesitura, el segundo número de Información y Protección de Datos presenta un conjunto de ensayos relacionados con la protección de los datos personales en el desafiante contexto contemporáneo, caracterizado por el rápido intercambio de información, lo que involucra el surgimiento de necesidades tan imperiosas como la alfabetización y la educación digital, además de la reflexión en torno al impacto de las transformaciones tecnológicas en la sociedad.

Información y Protección de Datos

En virtud de estas circunstancias, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos personales (ARCO) y el afianzamiento del derecho a la portabilidad cobran relevancia y exigen un estudio más exhaustivo, capaz de identificar los retos emergentes y las alternativas para resolverlos. La irrefrenable evolución de las tecnologías de la información y la comunicación demuestra que el internet carece de fronteras y, por lo tanto, los datos personales viajan por el mundo a una velocidad prácticamente inimaginable. Asegurar su correcto resguardo y sentar las bases para su tratamiento ético constituyen tareas ineludibles que, a partir de puntos de vista dinámicos y enriquecedores, abordan los autores de los ensayos recopilados en este volumen. Desde cada ámbito de especialización, proponen nuevas maneras de comprender la protección de los datos personales, pues esta asignatura involucra desde la revisión del marco legal hasta la puesta en práctica de técnicas pedagógicas que conduzcan a la formación de una ciudadanía digital consciente de sus derechos. Con esta segunda entrega, Información y Protección de Datos invita a sus lectores a continuar reflexionando sobre los temas relevantes que ubican a la transparencia, el acceso a la información pública y la protección de los datos personales en un lugar preponderante en la agenda municipal, estatal, nacional e internacional. El ejercicio de estos derechos fundamentales se robustece en la medida en la cual la población los conoce, disfruta sus beneficios y los vincula con otras prerrogativas semejantes, que se reflejan en la construcción de una sociedad más democrática, incluyente y participativa. Por consiguiente, a través del segundo número de esta publicación, el Infoem sigue sumando esfuerzos para transformar la cultura de la transparencia en una realidad que impacte positivamente en la vida cotidiana de los mexiquenses. 10

México y su responsabilidad global tras el Convenio 108

México

y su responsabilidad global

tras el Convenio 108 Mtro. Javier Martínez Cruz Comisionado del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios

Resumen Este artículo presenta un análisis encaminado a orientar al lector sobre el impacto de la globalización y las nuevas tecnologías en el manejo de los datos personales. Por ende, expone que estas transformaciones exigen una respuesta por parte de los sistemas jurídicos, con el fin de garantizar diversos derechos fundamentales, como el derecho a la intimidad.

Palabras clave: Dato personal; derechos humanos; tecnología; globalización. 11

Información y Protección de Datos

Introducción En el mundo actual, factores como la globalización y el desarrollo de las nuevas tecnologías han transformado la estructura social y las formas de vinculación de los individuos. A partir de estos elementos, la vida de las personas se encuentra en constante interacción, a través de espacios como el internet y las redes sociales, que han contribuido a la difusión, el intercambio y el acceso a la información. A raíz de estas cuestiones, numerosas empresas del ámbito privado y público –es decir, instituciones gubernamentales– utilizan estos avances tecnológicos, lo que les permite allegarse de información personal que comprende aspectos como datos bancarios, médicos, policíacos y administrativos, entre otros. Desde esta perspectiva, cabe puntualizar que los riesgos y la responsabilidad que conllevan el tratamiento y el manejo de esta información suponen la exigencia de medidas de seguridad cuyo objeto consiste en garantizar y proteger los derechos de toda la población.

México y su responsabilidad global tras el Convenio 108

La protección de los datos personales como un derecho fundamental En décadas recientes, las tecnologías y la globalización se han conformado como un fenómeno de evolución exponencial. El creciente desarrollo tecnológico –en especial, en internet– ha propiciado el surgimiento de un entorno de interacción virtual constante entre sus usuarios, que ha facilitado el acceso y la transmisión de información íntimamente ligada con el carácter personal. La relación de estos fenómenos trae consigo el almacenamiento de la información en bases de datos que incluyen a instituciones públicas y privadas. Ante este panorama, la sociedad demanda a dichas instituciones la adecuación y la evolución de los sistemas jurídicos, con el propósito de garantizar la protección de la información personal, lo que se considera como un derecho fundamental (derecho a la intimidad). En este tenor, en el escenario institucional-tecnológico, resulta crucial que los gobiernos se comprometan con la tutela de estos derechos, tomando en cuenta que la satisfacción de esas exigencias requiere de mecanismos normativos transparentes y adecuados, capaces de proveer la seguridad jurídica necesaria frente a la realidad social.

Información y Protección de Datos

La protección de los datos personales1 y el derecho a la vida privada se consagran en distintos ordenamientos nacionales e internacionales. En este rubro, destacan el artículo 122 de la Declaración Universal de Derechos Humanos; el artículo 113 de la Convención Americana sobre Derechos Humanos –también conocida como Pacto de San José de Costa Rica–, y el artículo 8,4 numerales 1 y 2, de la Carta de los Derechos Fundamentales de la Unión Europea. En México, sobresalen los artículos 6º,5 apartado A, fracción II; 16,6 fracción II, y 73,7 fracción XXIX, de la Constitución Política de los Estados Unidos Mexicanos. A partir de este reconocimiento, es claro que existe una regulación jurídica, con total vigencia, que garantiza y salvaguarda el derecho a la protección de los datos personales, en un ámbito de aplicación nacional e internacional.

1 Según distintas leyes y normas de la materia, un dato personal se entiende como “cualquier información concerniente a una persona física identificada o identificable”. Adicionalmente, se conceptualiza que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información. 2 Artículo 12. Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su

correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. 3 Artículo 11. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 4 Artículo 8, numeral 1. Toda persona tiene derecho a la protección de los datos de carácter personal que

le conciernan. Artículo 8, numeral 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a su rectificación. 5 Artículo 6º, apartado A, fracción II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. 6 Artículo 16, fracción II. Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. 7 Artículo 73, fracción XXIX. El Congreso tiene facultad para legislar en materia de protección de los datos

personales en posesión de particulares.

México y su responsabilidad global tras el Convenio 108

En relación con estos asertos, el derecho a la protección de los datos personales, una vez inscrito en la esfera de los derechos humanos, adquiere las características y los principios de interpretación de éstos. Así, principios como la progresividad y la universalidad deben verificarse en su garantía (Mendoza Enríquez, 2018).

Panorama de las leyes de protección de los datos personales en México El empleo y el manejo de la información personal en medios informáticos o físicos en posesión de los particulares y los sujetos obligados comprenden exigencias de tutela y regulación. En esta tesitura, la responsabilidad de ofrecer las respectivas garantías jurídicas a los titulares de los datos personales convoca a los Estados a dictar leyes que consoliden el derecho a esta protección. En México, este conjunto de cambios ha motivado a las autoridades de la materia a actualizar el derecho a la protección de los datos personales. Por ello, el 11 de junio de 2002 se publicó, en el Diario Oficial de la Federación, la Ley Federal de Acceso a la Información Pública Gubernamental, orientada a proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal y cualquier otra entidad federal, cuya observancia se refiere a los principios establecidos en el régimen constitucional.

Información y Protección de Datos

En consecuencia, a partir de 2002, por mandato legal, las entidades federativas se encuentran obligadas a refrendar y adecuar las disposiciones enunciadas desde el rubro federal (Gamboa Montejano, 2007). Posteriormente, surgieron distintos instrumentos destinados a garantizar la seguridad de los datos, entre los cuales figuran la Ley de Protección de Datos Personales en Posesión de Particulares –publicada el 5 de julio de 2010 en el Diario Oficial de la Federación, cuyo objeto consiste en regular el tratamiento legítimo, controlado e informado de los datos, con miras a la privacidad y el derecho a la autodeterminación informativa– y la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados –publicada el 26 de enero de 2017 en el Diario Oficial de la Federación–. Es importante apuntar que el propósito de estos preceptos sigue la misma línea: garantizar y regular el derecho a la información personal, desde dos perspectivas. La primera de ellas se refiere a la responsabilidad de guardar la confidencialidad de los datos personales, mientras que la segunda alude al ejercicio de los derechos de acceso, rectificación, cancelación y oposición, conocidos como derechos ARCO (Mendoza Enríquez, 2018). No obstante, si bien existen las condiciones y las normas necesarias para facilitar el correcto tratamiento y el apropiado resguardo de la información de carácter personal, el fenómeno de la vulnerabilidad persiste. Por ejemplo, subsisten casos como la indebida exposición del padrón electoral, a través de una nube pública (Hernández y González, 2016), y la difusión de más de 2 millones de registros médicos provenientes de una base de datos administrada por

México y su responsabilidad global tras el Convenio 108

la empresa Hova Health, en Michoacán (Riquelme, 2018). Esta circunstancia resulta todavía más alarmante, puesto que contempla datos personales sensibles, como diagnósticos, prescripciones y tratamientos. Estos acontecimientos revelan los efectos desencadenados por la falta de medidas de seguridad adecuadas para la salvaguarda de la información personal. A estas vulneraciones corresponde un daño directo en los derechos fundamentales de los titulares de los datos personales, por lo que actualmente siguen en investigación.

México ante el Convenio 108 y su Protocolo adicional Con el fin de reforzar la compleja protección, transferencia y regulación del flujo internacional de los datos personales para su tratamiento entre diversos países, el 12 de junio de 2018 se publicó, en el Diario Oficial de la Federación, el decreto por el cual México aprueba la adopción del Convenio 108 para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, del 28 de enero de 1985, y el Protocolo adicional al Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, a las autoridades de control y a los flujos transfronterizos de datos, del 8 de noviembre de 2001. Ambos instrumentos fueron avalados por el Consejo de Europa.

Información y Protección de Datos

Cabe subrayar que el Convenio 108 fue el primer instrumento internacional que estableció los estándares de seguridad mediante los cuales deben llevarse a cabo los tratamientos de información en materia de privacidad y datos personales. De este modo, gracias a este enfoque y al trabajo realizado por el Consejo de Europa, es innegable que los ordenamientos mexicanos alrededor de estas asignaturas asientan sus bases en la doctrina de ese continente. Adicionalmente, resulta oportuno señalar que el objetivo principal del Convenio 108, de acuerdo con su artículo 1º, radica en garantizar a cualquier persona física, sin distinción de nacionalidad o residencia, el respeto a sus derechos y libertades fundamentales; concretamente, en relación con la vida privada y el tratamiento automatizado de la información personal correspondiente. En un sentido similar, su artículo 3, numeral 1, plasma los campos de aplicación, de lo cual se desprende que las partes firmantes se comprometen a hacerlo valer en los ficheros8 y en los tratamientos automatizados9 de datos personales en los sectores público y privado. Respecto de los principios básicos para la protección del Convenio 108, su artículo 13 exhorta a las partes a concederse mutuamente asistencia para su cabal cumplimiento.

8 De conformidad con el Convenio 108, se entiende por fichero automatizado “cualquier conjunto

de informaciones que sea objeto de un tratamiento automatizado”. 9 En los términos del Convenio 108, se entiende por tratamiento automatizado “las operaciones que a continuación se indican, efectuadas en su totalidad y en parte con ayuda de procedimientos automatizados: registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión”.

México y su responsabilidad global tras el Convenio 108

Desde esta perspectiva, al analizar estos planteamientos, es posible aseverar que el Convenio 108 pretende compatibilizar la protección del derecho a la intimidad personal en todo momento (Pavón Pérez, 2001-2002), por lo que los estándares de seguridad entre los países miembros deben homologar estos mecanismos, a efecto de garantizar la libre circulación y la salvaguarda de los datos personales. Sobre la calidad de los datos objeto de tratamiento automatizado, su artículo 5 plantea que éstos deben obtenerse y manejarse leal y legítimamente, a la vez que registrarse para las finalidades previamente determinadas, por lo que resulta primordial verificar que sean adecuados, pertinentes y no excesivos. Con idéntica visión, el artículo 6º explicita la prohibición de procesar datos sensibles, como origen racial, opiniones políticas, estado de salud, religión, preferencias sexuales y antecedentes penales, a menos que la normativa interna prevea las respectivas garantías. Por otra parte, el artículo 1º del Protocolo adicional estipula que cada parte debe disponer de autoridades de control,10 a efecto de dar cumplimiento a las medidas contenidas en su derecho interno. Así, las autoridades ejercen sus funciones con completa independencia, promoviendo la implementación de un adecuado nivel de resguardo de la información.

10 Las autoridades de control tienen facultades de investigación y de intervención; además, pueden iniciar procedimientos legales o dirigirse a las autoridades judiciales correspondientes, en relación con las violaciones del derecho interno.

Información y Protección de Datos

Por consiguiente, en México, la concepción de la protección de los datos personales se extiende, pues los principios del Convenio 108 y su Protocolo adicional reconocen los alcances y los factores que influyen en el tratamiento automatizado y los flujos internacionales de datos personales.

Conclusiones El Convenio 108 exige a las partes tomar medidas para ajustar su legislación a los principios establecidos para el tratamiento de la información personal. Además, el Protocolo adicional especifica que las transferencias de datos pueden llevarse a cabo si se fijan las garantías apropiadas para ello. Aunque México cuenta con un amplio marco normativo de la materia, la reciente adhesión a este instrumento internacional representa un gran reto, en virtud de la adaptación a las exigencias internacionales e, incluso, a la responsabilidad en cuanto a la ayuda a quienes se encuentran en otros territorios. Los acontecimientos de vulneración a los sistemas de datos personales, tanto en nuestro país como en el resto del mundo, han planteado dudas importantes sobre cómo conseguir el tan anhelado respeto a la vida privada y la intimidad de las personas. Por ende, en el Infoem, compartimos la convicción de que la adhesión al Convenio 108 y a su Protocolo adicional conduce a un mejor gobierno, ya que involucra la creación de mejores mecanismos de autorregulación, entre otras medidas, con el propósito de tomar 20

México y su responsabilidad global tras el Convenio 108

acciones que contribuyan a garantizar las condiciones idóneas para el flujo y el intercambio de información; en especial, en materia de protección y tratamiento de los datos personales. Los órganos garantes buscamos, ante todo y a cada momento, salvaguardar el derecho fundamental a la protección de la vida privada de las personas. Para finalizar, cabe precisar que, a pesar de que la normatividad mexicana de la materia es completa y extensa, persisten varias lagunas, puesto que la sociedad y la tecnología continúan en constante evolución. Por tal motivo, resulta necesario adoptar tratamientos específicos que complementen los ya existentes, de manera que coadyuven a garantizar los derechos fundamentales, tanto en el ámbito interno como en el rubro internacional. En el Infoem, somos conscientes de la alta responsabilidad y el gran compromiso que implica la adopción del Convenio 108 y su Protocolo adicional, pues supone el análisis y la aplicación de los estándares internacionales que aseguren un alto nivel de protección de los datos personales.

Información y Protección de Datos

Fuentes de consulta

Consejo de Europa (s/f), Convenio no. 108 del Consejo de Europa, del 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, México, disponible en inicio.ifai.org.mx/Estudios/B.28-cp-CONVENIO-N-1o--108-DEL-CONSEJO-DE-EUROPA.pdf.

Gamboa Montejano, Claudia et al. (2007), Transparencia y acceso a la información pública. Estudio de antecedentes, marco jurídico actual, derecho comparado de diversos países, de las entidades federativas y de las iniciativas presentadas en el tema, Cámara de Diputados, LX Legislatura, México, disponible en www.diputados.gob.mx/sedia/sia/spi/SPI-ISS-03-07.pdf.

Hernández, Aura e Isabel González (2016), “Filtran padrón electoral del INE a la web; ponen denuncia en la PGR”, en Excélsior, 23 de abril, México, disponible en www.excelsior. com.mx/nacional/2016/04/23/1088369.

México y su responsabilidad global tras el Convenio 108

Mendoza Enríquez, Olivia Andrea (2018) “Marco jurídico de la protección de datos personales en las empresas de servicios establecidas en México: Desafíos y cumplimiento”, en IUS. Revista del Instituto de Ciencias Jurídicas de Puebla, Vol. 12, Núm. 41, Instituto de Ciencias Jurídicas de Puebla, Puebla, disponible en revistaius.com/index.php/ius/article/ view/355/608.

Pavón Pérez, Juan Antonio (2001-2002), “La protección de datos personales en el Consejo de Europa: El Protocolo adicional al Convenio 108 relativo a las autoridades de control y a los flujos transfronterizos de datos personales”, en Anuario de la Facultad de Derecho, Núm. 19-20, Universidad de Extremadura, Cáceres, disponible en dialnet.unirioja.es/ servlet/articulo?codigo=831270.

Riquelme, Rodrigo (2018), “El caso Hova Health, que expuso 2.3 millones de datos sensibles, podría ser el más grave de México”, en El Economista, 10 de agosto, México, disponible en www.eleconomista.com.mx/tecnologia/El-caso-HovaHealth-que-expuso-2.3-millones-de-datos-sensibles-podriaser-el-mas-grave-de-Mexico-20180810-0022.html.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Alfabetización digital

y protección de los datos personales.

Principio de la ciudadanía de la era digital

Dra. Ximena Puente de la Mora Profesora investigadora de la Universidad de Colima y del Instituto Universitario de Investigaciones Jurídicas. Miembro con nivel 1 del Sistema Nacional de Investigadores del Consejo Nacional de Ciencia y Tecnología

Resumen En el mundo actual, el uso intensivo de la tecnología y las herramientas digitales plantea novedosos retos en materia de protección de los datos personales; sobre todo, en relación con los sectores infantil y juvenil. Por ende, las autoridades, los padres de familia y los educadores se encuentran ante la necesidad de generar y promover políticas públicas encaminadas a la adecuada educación digital. Los niños y jóvenes deben adquirir, en la misma medida, conocimientos tradicionales y habilidades digitales.

Palabras clave: Alfabetización digital; educación digital; protección de los datos personales; tecnologías de la información y comunicación. 25

Información y Protección de Datos

Introducción En la cuarta revolución industrial, es impensable comunicarse, trabajar, estudiar y mantenerse al día sin las aplicaciones informáticas (apps), la instantaneidad y el alcance de internet, que encarna una ventana al conocimiento, al entretenimiento y al intercambio de información. La personalidad, los hábitos de consumo y otros intereses se exponen a través de la actividad y la conducta en línea. Por medio de cada búsqueda, clic y contenido compartido en el ciberespacio y, concretamente, en las redes sociales, vamos dejando una huella digital conformada por nuestros datos personales. En México, 47% de los hogares tiene conexión a internet (Inegi, 2017). De acuerdo con el 13º Estudio sobre los Hábitos de los Usuarios de Internet en México 2017, los cibernautas permanecieron en la red durante 8 horas y 1 minuto en promedio; es decir, según estas estimaciones, cada uno pasaría unas 2,926 horas en línea al año (Asociación de Internet.Mx, 2017). Los datos esquematizados por la Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales 2016 afirman que, en México, 84% de la población de 18 años o más ha entregado algún dato personal a alguna institución pública o empresa. Sin embargo, tanto en el mundo digital como en el mundo real, dar a conocer información personal se ha vuelto una costumbre más.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Frente a este panorama, las autoridades, los padres de familia y los educadores se encuentran ante la imprescindible necesidad de generar y promover políticas públicas destinadas a la adecuada educación digital. Los niños y jóvenes, a la par de adquirir conocimientos tradicionales, deben aprender habilidades digitales encaminadas a la protección de su identidad, seguridad y privacidad. Este texto aborda la importancia de la educación y la alfabetización digital para la formación de la niñez y la juventud, con el fin de que, a mediano y corto plazo, se transformen en una ciudadanía con plena comprensión de sus derechos y de las medidas enfocadas a la protección de sus datos en la era digital.

Información y Protección de Datos

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital Las democracias que funcionan bien están basadas en conocimiento, habilidades e involucramiento de sus ciudadanos, así como en un buen diseño institucional. Empoderar a los ciudadanos para entender sus derechos y para participar enteramente en sus sociedades es parte de la misión de las escuelas en todos los países miembros de la OCDE.11 (OCDE, 2017)

Los menores de edad representan 36% de los internautas en nuestro país; es decir, 1 de cada 3 usuarios tiene entre 6 y 17 años. Estos niños y jóvenes no conocen un mundo sin internet. En 2020, los centennials o nativos digitales, nacidos entre 1994 y 2004 (El Sol de Argentina, 2017), ocuparán completamente los espacios en las universidades y en los centros de investigación y se convertirán en ciudadanos con alta consciencia de la funcionalidad y la viralidad de la información respecto de los cambios políticos, económicos, sociales y culturales. Destacarán como la primera generación de nativos digitales ejerciendo su ciudadanía a través de sus dispositivos móviles.

11 Traducción de la autora.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Los datos obtenidos mediante internet y otras tecnologías ayudan a contar con una mayor noción del entorno sociopolítico y a participar en los distintos canales de deliberación e involucramiento público. Asimismo, potencian la movilización de consciencias y el empuje de temas clave para el desarrollo social. No obstante, con el propósito de integrarse a este nuevo ejercicio de la ciudadanía, se requiere de la alfabetización tradicional y digital. Muestra de ello es el análisis de Mark Pegrum (Thomas, 2011), en el cual asevera que la generación digital no parte de un cuerpo homogéneo de personas, con las mismas capacidades y habilidades en el entorno tecnológico. Variables como la educación, el género, el lenguaje, el estatus socioeconómico y la localización geográfica, entre otras, implican que el sector de los nativos digitales se conforma por individuos que, si bien usan las tecnologías de la información y comunicación (TIC) a su favor con mayor facilidad, también deben desarrollar competencias para su utilización crítica y responsable. De cara a este escenario, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) determina que proveer de conocimientos políticos y cívicos en la educación básica de todos los países miembros debe inscribirse en la misión educativa. Las democracias, apuntó Marc Fuster (2017), se construyen a partir de los principios de equidad y participación ciudadana en la deliberación y en la toma de decisiones. Por ello, la educación de los futuros ciudadanos no sólo debe proporcionar información

Información y Protección de Datos

sobre su contexto público, sino que debe comprender habilidades para un mundo digital en crecimiento. Adicionalmente, la OCDE (2017) establece que, si bien las tecnologías de la información son herramientas potenciales para el empoderamiento ciudadano, sus efectos se sujetan a las competencias y la confianza ciudadana. Educar en el entorno digital significa brindar, a la infancia, la juventud y a todos aquellos que utilizan las TIC, elementos para el empleo crítico y razonado de las tecnologías, ahondando en los beneficios y los riesgos que implica vivir a través de un dispositivo electrónico. De una apropiada educación digital depende, en gran medida, el ejercicio exitoso e incluyente de los derechos humanos en este siglo. En los años recientes, la educación digital para niñas, niños y adolescentes ha cobrado importancia y se ha aplicado como una herramienta pedagógica valiosa desde la perspectiva de los educadores. En materia de formación en privacidad y protección de los datos personales, la alfabetización digital se advierte como una aliada estratégica para facilitar la difusión y el conocimiento entre este sector respecto de su derecho a la autodeterminación informativa. Rafael Casado Ortiz (2006: 57) define a la alfabetización digital como un proceso continuo, mediante el cual se adquieren los saberes destinados a utilizar las infotecnologías adecuadamente y ser capaz de responder, en concordancia, a los estímulos y exigencias de un ambiente informacional complejo, variado y con multiplicidad de fuentes, medios de comunicación y servicios.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

En este orden de ideas, cabe señalar que la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (Unesco) reconoce a las tecnologías digitales como mediadoras de experiencias y potenciadoras del desarrollo de destrezas distintivas; por ejemplo, la adquisición de información y la emisión de respuestas casi instantáneas (2011). En esta tesitura, considera que las tecnologías mejoran los procesos de enseñanza e incrementan la calidad de los logros de aprendizaje, a la par de que favorecen la obtención de habilidades en la sociedad de la información. Por su parte, en el texto Educación digital: Oportunidades para la colaboración social, Pegrum puntualiza que, en el nuevo milenio, la alfabetización se convierte en un proceso más relevante y complejo que nunca (Thomas, 2011: 10). Los continuos avances y el uso constante de la tecnología en casi todos los aspectos cotidianos han abierto un amplio espectro de saberes. Mantenerse al margen de ellos y dejar de participar no es opcional: aquellos que carecen de estos conocimientos están ausentes de un mundo de posibilidades, tanto en el aspecto cultural como en el económico (Unesco, 2011). Ante ello, navegar con seguridad en internet significa conjugar responsabilidad, inteligencia y respeto por los demás, puesto que, más allá de sus propósitos de entretenimiento, supone una ventana para ampliar el escenario de desarrollo. Como padres de familia, educadores y autoridades, proveer a la infancia y a la juventud de guía y acompañamiento en relación con el uso seguro de internet es esencial para su crecimiento, pues deben saber que, en línea, también gozan de derechos y herramientas de salvaguarda. En la era digital, resulta fundamental

Información y Protección de Datos

tomar en cuenta que la protección de la información y de los datos personales se engloba en el ejercicio de la ciudadanía, por lo que es imprescindible fomentar, en aquellos sectores demográficos, las habilidades conducentes al resguardo de su identidad, seguridad y privacidad. Así, la cooperación entre las instituciones educativas y quienes configuramos el entorno familiar de los menores es crucial para promover la educación en materia de protección de los datos personales. Actuar de manera preventiva, integrando agendas, voces y nuevas perspectivas en beneficio de ese derecho en los menores, constituye un imperativo para establecer estrategias que difundan la formación de ciudadanos que emplean la tecnología con miras a la obtención de aprendizaje y beneficios.

La protección de los datos personales como camino para el ejercicio seguro de la ciudadanía Cabe apuntar que, en el contexto de un mundo totalmente interconectado, en el cual progresivamente se efectúa un mayor número de transacciones, existe un creciente flujo de datos personales; por ejemplo, entre personas y empresas que pueden ubicarse en distintos lugares del mundo, incluso muy lejanos. Este hecho ha detonado consensos, diálogos y la consecuente ejecución de estrategias para garantizar los mecanismos de protección de la información de carácter personal, así como los riesgos que conlleva su tratamiento. 32

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

En ese sentido, es oportuno enfatizar que el manejo inadecuado de los datos personales desencadena efectos directos en el bienestar de la ciudadanía, que se evidencian en problemas como el robo de identidad, la contratación apócrifa de servicios, la recepción de publicidad no solicitada e, incluso, la prevalencia del bullying, el acoso cibernético, los fraudes, la extorsión y los secuestros. México cuenta con una innovadora y sólida normativa en materia de protección de los datos personales. Durante la última década, los legisladores, instituciones y asociaciones civiles vinculados con este tema han enfocado sus esfuerzos a la construcción del engranaje legal e institucional destinado a otorgar las mejores garantías a los individuos frente al tratamiento de sus datos personales. Este proceso comenzó con la reforma constitucional que incluyó el derecho a la protección de los datos personales en su artículo 16, consagrándolo como derecho humano. Posteriormente, se afianzó, en 2010, con la emisión de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, aplicable al sector privado, y con la expedición de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, en 2017. Por consiguiente, en 2018, México fue distinguido por el Business Software Alliance (2018) en el lugar 13 de 24 países en los cuales existe un mejor entorno legal y regulatorio sobre protección de los datos personales. Sin embargo, si bien existe un marco legal que sienta firmes principios y bases en la materia, sensibilizar a la población alrededor de este tema en sus dinámicas cotidianas es crucial para solventar los riesgos implicados en la interacción con las 33

Información y Protección de Datos

tecnologías de la información. Un individuo consciente de que su información personal representa un insumo para su desarrollo equivale a un ciudadano que ejerce plenamente sus derechos. Ante ello, Pantallas Amigas, iniciativa española cuya misión consiste en promover el uso seguro y saludable de las tecnologías y fomentar la ciudadanía digital, asegura que, al educar ciberciudadanos, hay que enfatizar el empleo positivo de internet. Internet, establece Pantallas Amigas (2009), debe verse como una herramienta de poder, encuentro, participación e intervención enriquecedora en la sociedad. El alumnado debe reconocerse como parte de este proceso de integración y como motor de la construcción de una nueva ciudadanía facilitada por las TIC. Desde esta perspectiva, es oportuno mencionar que, en el ámbito internacional, la 38ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad: Resolución para la Adopción de un Marco Internacional de Competencias en Educación en Privacidad (Marruecos, 2016) propuso la inclusión de la educación en protección de los datos personales y privacidad en los programas de estudio, así como la adopción de un marco de competencia en la materia para estudiantes, tendiente a promover la investigación en pedagogía y didáctica, con base en la ciencia y la experiencia profesional. En el aspecto nacional, la generación de alianzas y el trabajo institucional con el gobierno federal, por medio de la Secretaría de Educación Pública, han puesto en marcha el Programa de Inclusión y Alfabetización Digital, como plataforma de contenido digital (México Digital, s/f). Igualmente, con la implementación de la Ley

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

General de Protección de Datos Personales en Posesión de Sujetos Obligados, se ha impulsado la inclusión de contenidos educativos alrededor de este derecho en los planes y programas de estudio, los libros y otros materiales, así como la conformación de centros de investigación, difusión y docencia sobre el tema. Estas acciones reflejan la importancia de promover las actividades de formación acentuadas en los beneficios y los riesgos representados por el uso de las nuevas tecnologías y en las prácticas que nos permitan vivir en un entorno digital en el que exista confianza, claridad y respeto de los derechos individuales.

Conclusiones La educación constituye la herramienta más poderosa para concretar un contexto con mayores índices de bienestar y desarrollo para todos. Sólo con la propulsión de propuestas innovadoras pueden materializarse soluciones transformadoras e inclusivas basadas en el conocimiento y el consenso. Así, la educación digital es indispensable para la formación de los niños, futuros profesionistas y ciudadanos que, conociendo el ámbito digital, sus riesgos y potencialidades, pueden transitar seguros en él, optimizando sus capacidades a favor de su propio crecimiento y el de su comunidad.

Información y Protección de Datos

Como padres, resulta insoslayable fomentar, entre niñas y niños, la consciencia de que ellos ya forman parte de una revolución del conocimiento, en cuyo centro se encuentran las tecnologías de la información, como impulsoras del desarrollo. En suma, en nuestras manos se halla la posibilidad de abrir caminos para que la infancia y la juventud accedan a una educación digital que las prepare ante la cuarta revolución industrial y las transforme en una generación que haga de la protección de los datos personales en la red una habilidad destinada a enfrentar con éxito los retos del futuro.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Fuentes de consulta

Asociación de Internet.Mx (2017), 13º Estudio sobre los Hábitos de los Usuarios de Internet en México 2017, Asociación de Internet. Mx, México, disponible en www.asociaciondeinternet.mx/ es/component/remository/Habitos-de-Internet/13-Estudiosobre-los-Habitos-de-.

Business Software Alliance (2018), BSA Global Cloud Computing Scorecard, disponible en cloudscorecard.bsa. org/2018.

Casado Ortiz, Rafael (2006), Claves de la alfabetización digital, Ariel.

Flores Fernández, Jorge (2009), Uso seguro de internet y ciudadanía digital responsable, Pantallas Amigas, disponible en www.pantallasamigas.net/proteccion-infancia-consejosarticulos/uso-seguro-de-internet-y-ciudadania-digitalresponsable.shtm.

Información y Protección de Datos

Fuster, Marc (2017), “Citizenship and Education in a Digital World”, en Education and Skills Today. Global Perspectives on Education and Skills, Organización para la Cooperación y el Desarrollo Económicos, disponible en oecdeducationtoday. blogspot.mx/2017/12/citizenship-and-education-in-digital. html.

Instituto Nacional de Estadística y Geografía (2016), Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales 2016, Instituto Nacional de Estadística y Geografía, México, disponible en www.beta.inegi.org.mx/ proyectos/enchogares/especiales/enaid/2016.

__________ (2017), Estadísticas a propósito del Día Mundial del Internet (17 de mayo), Instituto Nacional de Estadística y Geografía, México, disponible en www.inegi.org.mx/ saladeprensa/aproposito/2017/internet2017_Nal.pdf.

México Digital (s/f), Programa de Inclusión y Alfabetización Digital, Gobierno de la República Mexicana, México, disponible en www.gob.mx/mexicodigital/articulos/ programa-de-inclusion-y-alfabetizacion-digital-piad.

Alfabetización digital y protección de los datos personales. Principio de la ciudadanía de la era digital

Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (2011), Educación de calidad en la era digital. Una oportunidad de cooperación para Unesco en América Latina y el Caribe, Oficina Regional de Educación para América Latina y el Caribe, disponible en www.unesco.org/new/ fileadmin/MULTIMEDIA/FIELD/Santiago/pdf/educaciondigital-Buenos-Aires.pdf.

Organización para la Cooperación y el Desarrollo Económicos (2017), “Trends Shaping Education”, en Spotlight 13, Organización para la Cooperación y el Desarrollo Económicos, disponible en www.oecd.org/education/ceri/ Spotlight-13-Citizens-with-a-say.pdf.

Pegrum, Mark (ed.) (2011), Digital Education: Opportunities for Social Collaboration, Palgrave Macmillan.

Sol de Argentina, El (2017), “El desafío de los ‘centennial’ en su ingreso al mundo laboral”, disponible en www.elsol. com.ar/nota/292493/empresas/el-desafio-de-los-centennialen-su-ingreso-al-mundo-laboral.html.

Thomas, Michael (2011), “Digital Education: Opportunities, Challenges, and Responsibilities”, en Mark Pegrum (ed.), Digital Education: Opportunities for Social Collaboration, Palgrave Macmillan. 39

La adhesión de México al Convenio 108 del Consejo de Europa

La adhesión de México al

Convenio 108 del Consejo de Europa Mtro. Miguel Recio Gayo Investigador en Formación por la Universidad CEU San Pablo de Madrid

Resumen La adhesión de México al Convenio 108 del Consejo de Europa y a su Protocolo adicional es el resultado de un largo proceso que tiene y tendrá consecuencias relevantes. Este paso trascendental ha confirmado que la normatividad mexicana sobre protección de los datos personales, tanto para el sector público como para el ámbito privado, cumple con altos estándares internacionales, si bien la nueva modernización del Convenio 108 y su Protocolo adicional plantea la posibilidad de la adopción de otras medidas para adecuarse también con éstos. En cualquier caso, debe centrarse la atención en los principios que legitiman el tratamiento de los datos y en las reglas aplicables a las transferencias internacionales, los cuales constituyen el núcleo esencial de la protección efectiva del interesado.

Palabras clave: Consejo de Europa; Convenio 108; protección de los datos personales; licitud; transferencia internacional de datos. 41

Información y Protección de Datos

Introducción Con la adhesión de México al Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal (Convenio 108) y al Protocolo adicional al Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, a las autoridades de control y a los flujos transfronterizos de datos (Protocolo adicional), se concluyó un largo proceso de actividades que ponen de manifiesto la existencia en el país de garantías normativas y el compromiso con el respeto de los derechos humanos; especialmente, en materia de tratamiento de los datos personales. En esencia, el Convenio 108 y su Protocolo adicional incluyen los principios de la licitud del tratamiento y las reglas aplicables a las transferencias internacionales de datos, las cuales constituyen el núcleo del mencionado respeto de los derechos humanos. Todos los países que sean partes del Convenio 108, con independencia de su integración al Consejo de Europa, deben observar este conjunto de normas, que encarnan la clave para considerar que un país ofrece garantías apropiadas a la persona física cuyos datos se encuentran bajo tratamiento. La adhesión de México al Convenio 108 requiere considerar algunas cuestiones relativas a sus antecedentes y a su modernización, que ha dado lugar al Convenio 108+, así como al núcleo esencial por

La adhesión de México al Convenio 108 del Consejo de Europa

lo que se refiere a la licitud del tratamiento y a la transferencia internacional de datos. Estos aspectos conducen a reflexionar si resultan necesarias otras medidas adicionales para mantener la adhesión y, en su caso, considerar esta posibilidad al Convenio 108+. Finalmente, se presentan algunas conclusiones.

Antecedentes del Convenio 108 El Convenio 108 y su Protocolo adicional se abrieron a la firma el 28 de enero de 1981. Así, finalizaron diversas actividades enfocadas, en particular, a determinar si era necesario adoptar un instrumento internacional. En concreto, en su calidad de convenio internacional vinculante, aquél surgió de una aproximación basada en unos principios de la protección de los datos comunes a todas las partes. Ello supuso elegir, como se manifiesta en el Informe explicativo del Convenio 108 (Consejo de Europa, 1981), entre dos modelos, descartando, por consiguiente, aquél sustentado en la reciprocidad, consistente en que un país no permitiría, en su territorio, ninguna operación de tratamiento de datos referente a personas residentes en otro, si éstas son ilícitas conforme a las leyes de ese país. Cabe puntualizar que el Convenio 108 también se derivó del mandato dado, en 1976, por el Comité de Ministros del Consejo de Europa al Comité de Expertos en el Tratamiento de Datos (CEDP, por sus siglas en inglés), a fin de preparar un instrumento para

Información y Protección de Datos

la protección de la vida privada en relación con el tratamiento de datos en el extranjero y el tratamiento transfronterizo de datos, bajo la tutela del Comité Europeo para la Cooperación Legal (CDCJ, por sus siglas en inglés). En aquel momento, el Comité de Expertos en el Tratamiento de Datos trabajó con la Organización para la Cooperación y el Desarrollo Económico (OCDE), que se encontraba realizando estudios en esta materia. Incluso, éstos fueron examinados por la Comisión Europea, que ya analizaba la armonización de las legislaciones nacionales, en el ámbito de Unión Europea, ligadas con los flujos transfronterizos de datos, las posibles distorsiones de la competencia y los potenciales problemas de seguridad de la información, como quedó expresado en los considerandos de la Directiva 95/46/CE (Unión Europea, 1995), abrogada el 24 de mayo de 2018 por el Reglamento General de Protección de Datos (RGPD), al pormenorizar que las diferencias entre las legislaciones nacionales “pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les incumben en virtud del derecho comunitario”. A pesar de que, al inicio, el Convenio 108 se limitaba a los países miembros del Consejo de Europa, actualmente, países no miembros, como México, pueden acceder a él. Por otra parte, cuando el Convenio 108+ y su Protocolo adicional entren en vigor, tras un proceso de modernización, el Convenio 108 habrá estado vigente durante casi 35 años, desde el 1 de octubre de 1985, cuando cinco países parte miembros del Consejo de Europa lo ratificaron.

La adhesión de México al Convenio 108 del Consejo de Europa

El Convenio 108 es un instrumento jurídicamente vinculante, abierto, inclusive, a la firma o la ratificación por Estados que no son parte del Consejo de Europa, siempre que se cumplan con los requisitos que el propio Convenio 108 establece (Maqueo, Moreno y Recio, 2017: 81). Es relevante que su objeto radica en proteger a la persona física, fijando garantías relativas a la obtención y el tratamiento de los datos personales y a su flujo transfronterizo. Esto implica que debe prestarse atención, en particular, a las condiciones de licitud del tratamiento y al régimen aplicable a las transferencias internacionales de datos en el Convenio 108 y, en su caso, en las novedades del Convenio 108+.

La adhesión de México al Convenio 108 La adhesión de México al Convenio 108 y a su Protocolo adicional representa el resultado de un largo proceso iniciado en 2016 e incluso antes, pues, en 2014, fue objeto de una propuesta presentada en el Senado (Senado de la República, 2014). Además, Alemania lo ratificó el 19 de junio de 1985; España, el 31 de enero de 1984; Francia, el 24 de marzo de 1983; Noruega, el 20 de febrero de 1984, y Suecia, el 29 de septiembre de 1982. En concreto, durante la participación en la 39ª Reunión de la Mesa Directiva del Comité Consultivo del Convenio 108, que se celebró en París, Francia, del 5 al 7 de octubre de 2016, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos

Información y Protección de Datos

Personales (Inai) anunció, por conducto de un comunicado de prensa, que trabajaba “con celeridad, para integrar todos los elementos necesarios e iniciar el proceso formal de adhesión” (Inai, 2016). México solicitó acceder al Convenio 108 y su Protocolo adicional al Secretario General del Consejo de Europa, a través de una carta fechada el 25 de agosto de 2017. Después, el 28 de junio de 2018, el Observador Permanente de México ante el Consejo de Europa depositó los instrumentos para tal efecto. Esta última fecha marcó el plazo para la entrada en vigor, ya que lo haría “el día primero del mes siguiente a la expiración de un periodo de tres meses después de la fecha del depósito del instrumento de adhesión”, como indica el apartado 2 del artículo 23 del Convenio 108. De este modo, la fecha resultante se refiere al 1 de octubre de 2018. Con esta adhesión, México se convirtió en el 53º país parte del Convenio, como consecuencia de la invitación formulada por el Comité de Ministros, de acuerdo con el artículo 23 de dicho instrumento. Ello concuerda con las previsiones del Decreto promulgatorio del Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, Francia, el 28 de enero de 1981 (Segob, 2018) y con el Protocolo adicional en virtud del Decreto promulgatorio del Protocolo adicional al Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, a las autoridades de control y a los flujos transfronterizos de datos, hecho en Estrasburgo, Francia, el 8 de noviembre de 2001 (Segob, 2018).

La adhesión de México al Convenio 108 del Consejo de Europa

Del Convenio 108 al Convenio 108+ A pesar de que México se adhirió al Convenio 108, es necesario considerar que éste ha sido objeto de un proceso de actualización, iniciado en 2011 y concluido en 2017, lo que ha dado lugar al Convenio 108+ y su Protocolo adicional, en virtud de la decisión del Comité de Ministros adoptada en su 128ª sesión, efectuada en Elsinore, Dinamarca, el 18 de mayo de 2018. En este sentido, si bien la apertura para la firma del Convenio 108+ y su Protocolo adicional se previó inicialmente para el 25 de junio de 2018, se pospuso para el 10 de octubre de 2018, siguiendo la determinación del Comité de Ministros. Estas transformaciones suponen que, puesto que México es parte del Convenio 108, deba considerar la adopción de las medidas necesarias para la ratificación del Convenio 108+ y su Protocolo adicional, de conformidad con la decisión del Comité de Ministros adoptada en su 128ª sesión. Por ende, se trataría de seguir el camino iniciado en relación con los altos estándares internacionales en materia de protección de los datos personales, que los nuevos instrumentos mencionados refuerzan. Asimismo, cabe señalar que la modernización del Convenio 108+ y su Protocolo adicional inició antes de la aprobación del RGPD y finalizó cuando éste ya había entrado en vigor (Unión Europea, 2016).

Información y Protección de Datos

Licitud del tratamiento El capítulo II, artículos 4 a 11, del Convenio 108 se dedican a los principios básicos para la protección de los datos personales, por lo que se constituyen como los principios de licitud del tratamiento. Así, se refieren a aspectos diversos, como la calidad de los datos y el establecimiento de sanciones y recursos contra cualquier infracción del derecho interno o nacional. En este sentido, apunta que el derecho nacional debe establecer medidas y recursos destinados a la efectiva garantía de la protección de los datos personales. El compromiso de las partes del Convenio 108, previsto en el artículo 4, implica que deben establecerse las medidas conducentes para hacer valer los principios inscritos en el capítulo II. Al respecto, el Convenio 108+ añade nuevas previsiones enfocadas a su efectiva aplicación, lo que supone probar que así sea y, además, sujetarse a las evaluaciones del Comité del Convenio, que sustituye al Comité Consultivo estipulado en el artículo 18 del Convenio 2018. El principio de calidad de los datos, precisado en el artículo 5, involucra que los datos personales tratados de manera automatizada se obtengan y traten de forma leal y legítima; se utilicen para finalidades determinadas, legítimas y compatibles con aquéllas iniciales; resulten adecuados, pertinentes, no excesivos, exactos y, en caso pertinente, puestos al día, así como conservados, de manera que permitan la identificación del interesado, únicamente durante el tiempo necesario para cumplir con las finalidades de su obtención.

La adhesión de México al Convenio 108 del Consejo de Europa

En relación con estos principios, en el apartado 4 del dictamen emitido por el Comité Consultivo sobre la solicitud presentada por México para acceder al Convenio 108 (Consejo de Europa, 2017), se concluye que la legislación mexicana sobre protección de los datos personales, tanto en el sector público como en el ámbito privado, cumple con los requisitos del artículo 5, si bien se manifiesta la necesidad de que el país considere modificaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y a la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO). Por ejemplo, en el primer caso, el Comité Consultivo planteó la supresión, en el artículo 11 de la LFPDPPP, de la referencia a “los datos personales contenidos en las bases de datos”, al entender que se trata de una limitación y, por consiguiente, debería aplicarse a todo tratamiento. En el segundo caso, el Comité Consultivo recomendó que, en relación con las fuentes de acceso público, se adopten las medidas para garantizar que la naturaleza de los datos personales no ponga en riesgo los derechos y las libertades fundamentales de los interesados. En ambos casos, el Comité Consultivo se refirió a las características del consentimiento, ya que en el Convenio 108+ no se admite el consentimiento tácito, de manera que, si México accediera a su versión modernizada, tendría que revisar las bases de legitimación del tratamiento de los datos, sin olvidar que el consentimiento no es la vía única y central. En cuanto a las categorías especiales de datos a las que se refiere el artículo 9 del Convenio 108, el Comité Consultivo resaltó que la naturaleza de los datos de salud no se aborda ni en la LFPDPPP y

Información y Protección de Datos

su Reglamento ni en la LGPDPPSO, por lo que anima a México a la inclusión de modalidades específicas en relación con el tratamiento de esos datos, si bien, en este caso, cabría considerar la existencia de normatividad de la materia. Otra cuestión relevante, como condición de la licitud del tratamiento de los datos personales, se vincula con la seguridad de la información, sobre la cual el Comité Consultivo considera que México cumple con los requisitos del Convenio 108, aunque apunta que, en el sector privado, debería considerarse la notificación de vulneraciones de la seguridad a la autoridad de supervisión, que es objeto del Convenio 108+. Respecto de otras cuestiones relativas a la licitud del tratamiento en el Convenio 108; es decir, a las excepciones y restricciones de los artículos 5, 6 y 8, las sanciones y recursos, así como la protección más amplia, el Comité Consultivo concluyó que la normatividad mexicana cumple con los requisitos del Convenio 108.

Transferencia internacional de datos La transferencia internacional de los datos personales es otra cuestión relevante del Convenio 108 y su Protocolo adicional, que obedece a normas precisas cuyo objetivo consiste en garantizar la protección de la persona física cuando sus datos personales se transfieren a otro país. En tal sentido, cabe destacar que el principio

La adhesión de México al Convenio 108 del Consejo de Europa

general alude que las transferencias internacionales de datos entre las partes no deberían sujetarse a una autorización especial, ya que en ellos aplica un núcleo común de principios para los interesados. Sin embargo, esta regla general cuenta con dos excepciones. La primera estipula que la legislación del país de origen –es decir, en el que se inicia la transferencia– cuente con normas específicas para determinadas categorías de datos o de bases automatizadas de datos. La segunda señala que, cuando la transferencia se lleve a cabo hacia un país que no sea contratante del Convenio 108, pero se realice a través de otro país parte, con la finalidad de eludir la legislación del país desde el que se origina la transferencia, se tomen las medidas oportunas. Asimismo, es necesario considerar las disposiciones del artículo 2 del Protocolo adicional, de manera que lo esencial se refiere a si el Estado que no sea parte “garantiza un nivel de protección adecuado”, así como las excepciones relativas a la existencia de intereses específicos del particular, legítimos prevalecientes o públicos importantes, o si el responsable del tratamiento “ofrece garantías que, en particular, pueden resultar de cláusulas contractuales y si éstas son juzgadas suficientes por la autoridad competente”. Por ende, en relación con este tema, el Comité Consultivo concluyó que la LFPDPPP y la LGPDPPSO cumplen con las previsiones del Convenio 108 y su Protocolo adicional.

Información y Protección de Datos

¿Son necesarias medidas adicionales? La adhesión de México al Convenio 108 y su Protocolo adicional da lugar a varias interrogantes sobre el establecimiento de mayores medidas, lo que depende de distintos factores. En primer lugar, México tiene ahora la posibilidad de sumarse al Convenio 108+, lo que implicaría la necesidad de comparar el contenido de su normatividad con los requisitos de aquél, que son superiores a los previstos en el original (Greenleaf, 2016: 4), lo que involucra un aumento considerable del grado de protección de los datos (Comisión Europea, 2018: 2), también ponderando los temas planteados por el Comité Consultivo al evaluar la solicitud de adhesión formulada por México. En segundo término, sería conveniente analizar cualquier paso futuro de México en relación con una posible solicitud de reconocimiento del nivel adecuado de protección de los datos personales otorgado por la Comisión Europea, dado que se podrían aprovechar las recomendaciones expresadas por el Comité Consultivo en relación con el Convenio 108+. Al respecto, es trascendental enfatizar que éste incluye numerosos requisitos actualmente contemplados en el RGPD, como las responsabilidades conducentes. En tercer lugar, cabe destacar las asimetrías entre el sector público y el ámbito privado, constatadas de las respectivas normas, las cuales requerirían de alguna acción para evitar divergencias inasumibles en una evaluación por el Consejo de Europa. Así, en definitiva, México tiene la oportunidad de avanzar en las normas

La adhesión de México al Convenio 108 del Consejo de Europa

sobre protección de los datos personales, a fin de continuar como referente en la materia para otros países de su entorno y otras jurisdicciones en el mundo, con lo que se reafirman los pasos dados en el marco del Consejo de Europa, al haberse adherido al Convenio 108 y su Protocolo adicional.

Conclusiones Sin duda alguna, México ha dado un paso decidido y comprometido, al adherirse al Convenio 108 y su Protocolo adicional. Sin perjuicio de ello, este hecho requiere que considere mayores acciones; en particular, si desea sumarse al Convenio 108+ y su Protocolo adicional. En todo caso, este país ha demostrado que cuenta con un marco legislativo adecuado; sobre todo, según los principios aplicables a la licitud del tratamiento y la transferencia internacional de datos.

Información y Protección de Datos

Fuentes de consulta

Comisión Europea (2018), Propuesta de decisión del Consejo por la que se autoriza a los Estados miembros a ratificar, en interés de la Unión Europea, el Protocolo que modifica el Convenio del Consejo de Europa para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal (STCE n.º 108), Comisión Europea, Bruselas.

Consejo de Europa (1981), Informe explicativo del Convenio 108, Consejo de Europa, Estrasburgo, disponible en rm.coe.int/CoERMPublicCommonSearchServices/ DisplayDCTMContent?documentId=09000016800ca434.

__________ (2017), Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data. Opinion on the Request for Accession by the United Mexican States, Consejo de Europa, Estrasburgo, disponible en rm.coe.int/opinion-mexico/168075f494.

Greenleaf, Graham (2016), “Renewing Data Protection Convention 108: The COE’s ‘GDPR Lite’ initiatives”, en Privacy Laws & Business International Report, núm. 142, UNSW Law Research Paper 17-3, Australia.

La adhesión de México al Convenio 108 del Consejo de Europa

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (2016), Inai trabaja con celeridad para iniciar proceso de adhesión de México al Convenio 108: Comisionada Patricia Kurczyn, 8 de octubre, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, México, disponible en inicio. inai.org.mx/Comunicados/Comunicado%20INAI-269-16. pdf.

Maqueo, María, Jimena Moreno y Miguel Recio (2017), “Protección de datos personales, privacidad y vida privada: La inquietante búsqueda de un equilibrio global necesario”, en Revista de Derecho, vol. XXX, núm. 1, Universidad Austral de Chile, Santiago de Chile.

Secretaría de Gobernación (2018), “Decreto promulgatorio del Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, Francia, el 28 de enero de 1981”, en Diario Oficial de la Federación, 28 de agosto, México, disponible en dof.gob.mx/nota_detalle. php?codigo=5539473&fecha=28/09/2018.

Información y Protección de Datos

__________ (2018), “Decreto promulgatorio del Protocolo adicional al Convenio para la protección de las personas con respecto del tratamiento automatizado de datos de carácter personal, a las autoridades de control y a los flujos transfronterizos de datos, hecho en Estrasburgo, Francia, el 8 de noviembre de 2001”, en Diario Oficial de la Federación, 28 de agosto, México, disponible en dof.gob.mx/nota_detalle. php?codigo=5539474&fecha=28/09/2018.

Senado de la República (2014), Proponen que México firme Convenio 108 del Consejo de Europa sobre protección de datos, 29 de julio, Senado de la República, México, disponible en comunicacion.senado.gob.mx/index.php/informacion/ boletines/14365-proponen-que-mexico-firme-convenio-108del-consejo-de-europa-sobre-proteccion-de-datos.html.

Unión Europea (1995), Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Unión Europea, disponible en eur-lex.europa.eu/legal-content/ES/ TXT/?qid=1541354317453&uri=CELEX:31995L0046.

La adhesión de México al Convenio 108 del Consejo de Europa

__________ (2016), Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), Unión Europea, disponible en eur-lex.europa.eu/legal-content/ES/ TXT/?qid=1541332141624&uri=CELEX:32016R0679.

Impacto de las TIC en la administración pública

Impacto de las TIC

en la administración pública

Dr. Felipe Eduardo Rotondo Tornaría Consejero de la Unidad Reguladora y de Control de Datos Personales de Uruguay e integrante del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales de Uruguay

Resumen En la sociedad de la información, las nuevas tecnologías han incidido –y lo siguen haciendo– permanentemente en todas las estructuras sociales, comprendidas las instituciones públicas, las cuales desempeñan un rol fundamental como gestoras del interés general. Considerar ese impacto sin perder de vista las esencias resulta necesario.

Palabras clave: Administración del Estado de Derecho; gobernanza electrónica; entidades públicas. 59

Información y Protección de Datos

Introducción Las tecnologías de la información y la comunicación (TIC) determinan profundos cambios en las personas, los diversos grupos sociales y su interacción en distintos niveles –como el territorial, en los ámbitos local, nacional, regional y global– y en numerosas áreas de actividad, sean públicas o privadas. Estas herramientas han transformado nuestra sociedad de la industrial a la de la información, delimitada por el acceso a ésta y al conocimiento. Al facilitar la recolección, almacenamiento, tratamiento y comunicación de datos, conducen a una mayor información, que representa, a la par, una fuente de conocimiento orientador de la actividad, que exige continua actualización. Puede observarse así, por ejemplo, en la relevancia de la educación a distancia, la telemedicina, el comercio electrónico y las nuevas modalidades de trabajo –el teletrabajo y el byod–,12 entre otros aspectos semejantes. También se percibe en la organización y el funcionamiento de las entidades estatales; específicamente, si cumplen la función administrativa.

12 Abreviación de bring your own device (traiga su propio dispositivo), una política empresarial mediante la cual los empleados aportan sus medios portátiles personales a su lugar de trabajo, para acceder a los distintos recursos de la empresa (nota del editor).

Impacto de las TIC en la administración pública

Las TIC en el gobierno/administración El Estado es, fundamentalmente, una organización que ejerce el poder en aras del interés general, el cual, en un Estado constitucional de Derecho, se centra en el pleno desarrollo del ser humano. En tanto forma política de lo social y, más aún, expresión jurídica de la democracia, debe tener presente que “las tecnologías por sí solas no transforman los roles, la estructura y las funciones, pero en un sistema democrático abren importantes posibilidades para que los agentes transformadores impulsen genuinas reformas” (Prats i Catalá, 2005: 21). En el ámbito de la administración, contribuyen a la interrelación con su entorno, dentro del propio sector público y con el sector privado, con la finalidad de que sea abierta y, así, preste los servicios que le corresponden de la mejor manera, no únicamente de acuerdo con el ordenamiento jurídico, sino también a través de procedimientos idóneos en cuanto a resultados y costos. De este modo, buscan que se desarrolle una buena administración, en el sentido de actividad, lo cual hoy no significa exclusivamente una cuestión de mérito o conveniencia, ya que se ha juridizado.13

13 El artículo 60 de la Constitución uruguaya reclama una “administración eficiente”. También prevé, en su artículo 311, que el Tribunal de lo Contencioso Administrativo puede anular un acto administrativo “en interés de la regla de Derecho o de la buena administración”.

Información y Protección de Datos

Las tecnologías constituyen una herramienta y su servicio depende de quién y cómo las utilice, dado que deben concebirse “para acompañar la información que la organización crea y usa, al mismo tiempo que para acompañar el cambio organizacional formidable que también permiten” (Bauzá Reilly, 2010: 47). En tal sentido, el contexto de las organizaciones cambia persistentemente, puesto que se exigen administradores que gestionen de acuerdo con la realidad tecnológica, sabiendo que el conocimiento y su apropiado uso son esenciales. Ello importa, entre otros elementos, en el diseño de estrategias; la relación con el personal y el respeto a su dignidad, y el vínculo de la propia organización con el medio social.

Gobierno/gobernanza electrónicos La Carta Iberoamericana de Gobierno Electrónico expresa que éste se refiere al “uso de TIC en los órganos de la administración para mejorar la información y los servicios de los ciudadanos; orientar la eficacia y la eficiencia de la gestión pública, e incrementar sustancialmente la transparencia del sector público y la participación de los ciudadanos”. Se orienta, pues, a “facilitar al ciudadano sus relaciones con la administración y, con ello, igualar oportunidades en ese aspecto. Y también aprovechar el potencial de relaciones de las administraciones públicas para impulsar el desarrollo de la sociedad de la información y del conocimiento”. Así, entre sus fines, comprende “optimizar los modos de organización 62

Impacto de las TIC en la administración pública

y de funcionamiento de los gobiernos y sus administraciones, simplificando trámites y procedimientos”. En este orden de ideas, el capítulo primero-6 describe los siguientes principios:

A. Igualdad: “En ningún caso, el uso de medios electrónicos [puede] implicar la existencia de restricciones o discriminaciones” para quienes “se relacionen con las administraciones públicas por medios no electrónicos, tanto respecto al acceso o la prestación de servicios públicos como respecto a cualquier actuación o procedimiento administrativo, sin perjuicio de las medidas dirigidas a incentivar la utilización de los medios electrónicos”. B. Legalidad: “Las garantías previstas en los modos tradicionales de relación del ciudadano con el gobierno y la administración [deben mantenerse] idénticas en los medios electrónicos. Los trámites procedimentales, sin perjuicio de su simplificación general, constituyen para todos los ciudadanos garantías imprescindibles. El principio de legalidad también comprende el respeto a la privacidad, por lo que el uso de comunicaciones electrónicas comporta la sujeción de todas las administraciones públicas a la observancia de las normas en materia de protección de datos personales”. C. Conservación: “En virtud [de la] cual se garantiza que las comunicaciones y documentos electrónicos se conservan en las mismas condiciones que por los medios tradicionales”.

Información y Protección de Datos

D. Transparencia y accesibilidad: Que garantizan “que la información de las administraciones públicas y el conocimiento de los servicios por medios electrónicos se haga en un lenguaje comprensible, según el perfil del destinatario”. E. Proporcionalidad: “De modo que los requerimientos de seguridad sean adecuados a la naturaleza de la relación que se establezca con la administración”. F. Responsabilidad: Para que “la administración y el gobierno respondan por sus actos realizados por medios electrónicos de la misma manera que por los realizados por medios tradicionales. De acuerdo con este principio, las informaciones oficiales que se faciliten por medios electrónicos no pueden beneficiarse de una cláusula general de irresponsabilidad ni incorporar una cláusula especial de esta naturaleza”. G. Adecuación tecnológica: “Las administraciones elegirán las tecnologías más adecuadas para satisfacer sus necesidades. Se recomienda el uso de estándares abiertos y de software libre en razón de la seguridad, sostenibilidad a largo plazo y para prevenir que el conocimiento público no sea privatizado. En ningún caso, este principio supondrá limitación alguna al derecho de los ciudadanos a emplear la tecnología de su elección en el acceso a las administraciones públicas. Dentro de este principio se comprende el uso de distintos medios electrónicos, como el computador, la televisión digital

Impacto de las TIC en la administración pública

terrestre y los mensajes SMS en teléfonos celulares, entre otros, sin perjuicio de la eventual imposición del empleo, en determinados casos, de aquellos medios concretos que se adecuen a la naturaleza del trámite o comunicación de que se trate”.14

Por su parte, la gobernanza, es el “arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía”.15 Este concepto se proyecta a la sociedad, a través de la actuación individual o en diversas formas asociativas. Adicionalmente, el Programa de las Naciones Unidas para el Desarrollo (PNUD) puntualiza sus dimensiones: a) política (sistema democrático, con instituciones participativas); b) económica (orden de mercado competitivo, favorecedor del crecimiento económico); c) administrativa (administración pública eficiente, transparente y responsable); d) sistémica (instituciones sociales que protegen valores culturales, garantizan la libertad y seguridad y promueven la igualdad de oportunidades).

14 El documento Principios y líneas estratégicas para el gobierno en red, aprobado por el decreto uruguayo 450/009, se refiere también a estos principios. Incluye, además, los de eficiencia y eficacia, cooperación, integralidad, confianza y seguridad. 15 Véase la respectiva entrada en el Diccionario de la Real Academia Española, disponible en dle. rae.es/?id=JHRSmFV.

Información y Protección de Datos

A su vez, el término gobernanza electrónica implica el cruce de la gobernanza y los medios técnicos de la información, con la finalidad de facilitarla respecto de todos los actores: aparato estatal, habitantes y empresas, con una “ciudadanía más comprometida e interactiva”. Para el PNUD, se trata de un proceso de “creación de valor público con el empleo de las modernas TIC”, ligado con el desarrollo humano sostenible. En el caso de la administración pública, se legitima si resulta idóneo, a efecto de llevar hacia una alta calidad de vida, y permite “equipar a las personas para una participación genuina en un proceso político inclusivo, que puede producir un consentimiento público bien informado, la base cada vez más prevaleciente para la legitimidad de los gobiernos”. Los principios rectores de la ONU vinculados con los objetivos de la gobernanza electrónica comprenden: a) crear servicios relacionados con las decisiones de los ciudadanos; b) hacer que el gobierno y sus servicios sean accesibles; c) promover la inclusión social; d) proporcionar información de modo responsable; e) emplear las TIC y los recursos humanos de manera efectiva y eficiente. En este sentido, los objetivos son más amplios que los del gobierno electrónico: también se interconectan con la mejora de la organización y de la gestión de los organismos públicos; su transparencia; la lucha contra la corrupción; el refuerzo de la credibilidad política; la responsabilidad del Estado y de los gobernantes; la promoción de prácticas democráticas a través de la participación, y la consulta del público sobre la toma de decisiones. El respeto a los derechos de las personas es ineludible condición, por lo cual un pilar básico de la gobernanza electrónica radica en la protección de los datos personales. 66

Impacto de las TIC en la administración pública

En suma, los avances de las TIC y el internet abren alternativas que transforman la relación del Estado y su administración con la sociedad en la cual se inscriben, constituyendo, entonces, un elemento favorable para el logro de los objetivos de una buena gobernanza. Además, la gobernanza en red no sólo implica una conexión entre organizaciones –de prestadores de servicios, usuarios, autoridades reguladoras y unidades de investigación, entre otras–, sino también su interdependencia. En ellas, lo técnico del rol de los expertos no puede enervar aquél de los actores que detentan la responsabilidad institucional democrática durante el proceso de formulación de políticas.

Continuación: Gobierno abierto Los conceptos organizativos y activos señalados se corresponden con el gobierno abierto que, de conformidad con la reciente recomendación de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), se define como “una cultura de gobernanza que promueve los principios de transparencia, integridad, rendición de cuentas y participación de las partes interesadas en apoyo de la democracia y el crecimiento inclusivo”.16

16 De este modo, plantea la posibilidad de pasar a un Estado abierto, que existe “cuando los poderes Ejecutivo, Legislativo y Judicial, las instituciones públicas independientes y todos los niveles de gobierno –reconociendo sus respectivos roles, prerrogativas e independencia general, conforme a sus actuales marcos jurídicos e institucionales– colaboran, explotan sinergias y comparten buenas prácticas y lecciones aprendidas entre ellos y con otras partes interesadas, para promover la transparencia, integridad, rendición de cuentas y participación de las partes interesadas, en apoyo de la democracia y el crecimiento inclusivo”.

Información y Protección de Datos

Por consiguiente, puede afirmarse que “entraña una relación de doble vía entre ciudadanía y Estado, posibilitada por la disponibilidad y aplicación de TIC que facilitan múltiples interacciones entre actores sociales y estatales y se traducen en vínculos más transparentes, participativos y colaborativos” (Oszlak, 2014: 7). Sus objetivos consisten en acrecentar la información pública disponible para la ciudadanía; garantizar el derecho a esa información; mejorar el acceso a los servicios públicos y sus canales de entrega; proteger los derechos de los usuarios y funcionarios; incrementar la transparencia de la gestión pública; promover la participación social en la gestión estatal, y aumentar la capacidad institucional para una gestión abierta. La información pública debe estar disponible para que los ciudadanos, en tanto verdaderos dueños del poder político democrático, controlen a las autoridades, en su papel de gerentes del interés general. De esta manera, se busca que sea viable el uso adecuado del cúmulo de datos que posee la administración, con el fin de crear y permitir crear valor, identificar las necesidades sociales y conducir a los servicios que las atiendan.17

17 Se ha dicho con razón que innovar es convertir una idea en servicio que agrega valor. Por ejemplo, el uso de datos en la agricultura ha contribuido a la productividad, mediante sensores combinados con registros históricos y en tiempo real sobre condiciones de los suelos e incidencia de la lluvia, entre otros aspectos.

Impacto de las TIC en la administración pública

Esto incide en un real debate público, en la toma de decisiones, en la apertura de los procedimientos regulatorios y en la determinación de las políticas públicas. Al participar, las personas constituyen, en palabras de Jürgen Habermas, el público razonado, por lo cual corresponde “hacer comprensibles los procesos de toma de decisión y los argumentos a favor y en contra, para facilitar al particular una formación de opinión propia” (Sommermann, 2010:11). Entonces, la gestión estatal se verifica en un contexto de probidad fundado en principios de Derecho público cuya raíz es la ética, la buena fe, la transparencia y la motivación.

Legislación uruguaya La legislación uruguaya ha seguido el camino indicado precedentemente. Sin perjuicio de otra normativa, específica o basada en principios, se cita la siguiente:

A. Ley Nº 19.355 de 19-XII-2015

Su artículo 74 reconoce “el derecho de las personas a relacionarse con las entidades públicas por medios electrónicos, sin exclusión de los medios tradicionales”. Asimismo, el artículo 76 prevé que aquéllas deben simplificar los trámites “siguiendo los lineamientos de gobierno electrónico” y abstenerse de solicitar a los interesados información que pueden obtener de otra semejante. En un sentido 69

Información y Protección de Datos

similar, deben publicar cada trámite en su sitio electrónico y en el Portal del Estado Uruguayo, precisando todos los requisitos pertinentes, lo que se sujeta a revisiones periódicas y supone la imposibilidad de exigir otros adicionales. Finalmente, el artículo 73 crea el proyecto “Trámites en línea”, a fin de promover y desarrollar estrategias de simplificación, priorización y puesta en línea de trámites en las administraciones públicas.18

B. Ley Nº 18.381 de 17-X-200819

Presume que es pública toda la información producida, obtenida, en poder o bajo control de las entidades públicas estatales y no estatales. Desde esta perspectiva, las excepciones se interpretan estrictamente, por lo que las dudas se resuelven a favor de la transparencia, a partir de los principios de libertad, transparencia, máxima publicidad, divisibilidad, ausencia de ritualismos, no discriminación, oportunidad, responsabilidad y gratuidad. En igual tenor, los archivos se rigen por los principios de disponibilidad, eficiencia, integridad y conservación.

18 El decreto Nº 231/017 concretó la obligación, para las entidades de la administración central, de “contar, para todas sus instancias, con el canal en línea, además del canal presencial”. 19 Su reglamentación se aprobó mediante el decreto Nº 232/010.

Impacto de las TIC en la administración pública

Por consiguiente, sólo puede configurarse una limitación al libre acceso ante la información definida como secreta por ley, la reservada y la confidencial. No puede invocarse ninguna reserva si la información se refiere a violaciones a los derechos humanos o resulta relevante para investigarlas, prevenirlas o evitarlas, aunque corresponde preservar los datos personales de los terceros ajenos a los hechos denunciados y los datos sensibles de las víctimas, lo que puede legitimar las versiones públicas. Resulta oportuno apuntar que la información reservada es aquélla que clasifican los entes públicos y cuya difusión se excluye temporalmente, mientras se encuadre en ciertas situaciones manifestadas en la ley, como “comprometer la seguridad pública o la defensa nacional”; “menoscabar la conducción de las negociaciones, o bien, de las relaciones internacionales”; “dañar la estabilidad financiera, económica o monetaria del país”; “poner en riesgo la vida, la dignidad humana, la seguridad o la salud de cualquier persona”; “suponer una pérdida de ventajas competitivas para el sujeto obligado o dañar su proceso de producción” y “desproteger descubrimientos científicos, tecnológicos y culturales”. Igualmente, el probable perjuicio ocasionado por la difusión de la información debe acreditarse por el organismo en cada situación, con la llamada “prueba de daño”. Aquí interesa, especialmente, la información confidencial cuyo carácter es privado, de manera que sus titulares determinan si permiten o no su divulgación, salvo que existan razones de interés general u órdenes judiciales que señalen lo contrario.

Información y Protección de Datos

Al respecto, la ley considera confidencial la información en tal calidad entregada a los sujetos obligados, siempre que “A) Refiera al patrimonio de la persona; B) Comprenda hechos o actos de carácter económico, contable, jurídico o administrativo, relativos a una persona física o jurídica, que pudieran ser útiles para un competidor; C) Esté amparada por una cláusula contractual de confidencialidad”. En contraste, no se considera información confidencial “la que por disposiciones legales se encuentre en registros públicos” y “la que se encuentre en fuentes de acceso público”. El numeral II del artículo 10 dicta que constituyen información confidencial aquellos datos personales “que requieran previo consentimiento informado”. Por ende, se trata de salvaguardar la información que se deposita en poder de la administración, pero no debido a su esencia pública. De esta manera, cabe destacar las disposiciones de la Ley de Protección de Datos Nº 18.331 de 11-VIII-2008, sobre el principio relativo al consentimiento, además de atender los restantes, como la finalidad a la cual se destinan los datos y la naturaleza de la actividad llevada a cabo por el responsable de la base, aspectos que deben informarse previamente al titular.20

20 El artículo 1 de la Ley de Protección de Datos Personales y Acción de Hábeas Data prevé que “el derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República”. Esta disposición fija que “la enumeración de derechos, deberes y garantías hecha por la Constitución no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno”.

Impacto de las TIC en la administración pública

Adicionalmente, el artículo 82 de la citada Ley Nº 19.355 obliga a las entidades públicas a difundir su información pública mínima en formatos abiertos, la cual incluye, por ejemplo, su estructura orgánica, facultades por área, remuneraciones por categoría, presupuesto y su ejecución. También puntualiza que los datos y metadatos deben cumplir con las normas técnicas fijadas por la Agencia para el Desarrollo del Gobierno Electrónico y la Sociedad de la Información y del Conocimiento (AGESIC) y que su divulgación debe efectuarse en el marco de la Ley Nº 19.179 de 27-XII-2013, puesto que prevé que las entidades estatales y las empresas con mayoría accionaria estatal deben distribuir su información en, al menos, un formato abierto, estándar y libre.

Información y Protección de Datos

Coordinación y cooperación en la administración electrónica (e-administración) La coordinación constituye una regla básica de la buena administración, a fin de garantizar la interoperabilidad de los sistemas adoptados por los entes públicos.21 También lo es la adaptación al progreso de las técnicas de comunicación, que juegan un papel clave en la gestión eficiente y rentable de las administraciones, habilitando la toma de decisiones informadas. Su empleo requiere una actividad concertada de los organismos del Estado y una administración en red o “cooperativa”, con base en la ley o en el desarrollo de un mandato legislativo.

21 La Ley Nº 18.719 de 27-XII-2010 estipula que las entidades públicas, estatales o no, deben adoptar las medidas necesarias e incorporar en sus ámbitos de actividad las tecnologías para promover el intercambio de información, pública o privada autorizada por su titular, en medios electrónicos. También señala el cometido de cumplir con las obligaciones de secreto, reserva o confidencialidad; adoptar las medidas para garantizar los niveles de seguridad y confidencialidad adecuados; recabar el consentimiento, según la Ley de Protección de Datos Personales, y responder por la veracidad de la información al producirse el respectivo intercambio. Los principios generales, de conformidad con los artículos 157 a 159, se refieren a cooperación, integralidad, eficiencia, eficacia, finalidad, previo consentimiento informado de los titulares de los datos personales, confianza y seguridad. Asimismo, el artículo 149 crea, en la AGESIC, la Dirección de Seguridad de la Información que alberga el Centro Nacional de Respuesta a los Incidentes de Seguridad Informática. La reglamentación también se enfoca al Sistema de Gestión de Seguridad de la Información; en su marco, el decreto 92/014 estandariza los nombres de dominio de la administración central y establece que sus sistemas informáticos deben alojarse “en centros de datos situados en territorio nacional”, salvo los que constituyen un riesgo para el organismo.

Impacto de las TIC en la administración pública

En el ámbito orgánico y para esos efectos –de acuerdo con la institucionalidad del respectivo régimen jurídico–, resulta pertinente contar con una instancia organizativa que apuntale la cooperación y coordinación entre los componentes del sector público, sin perjuicio de que su integración incluya al sector privado y académico. Esta estructura debe encargarse de planificar el desarrollo de la administración electrónica y el seguimiento de la compatibilidad, seguridad e interoperabilidad de los sistemas y aplicaciones, así como de adoptar las medidas que aseguren que las tecnologías posibiliten la interconexión de redes y, con ello, el intercambio de información –con el propósito de prevenir la existencia de islas de información–, la prestación de servicios y la integración de los organismos a través del Portal de Gobierno. En la medida en que estas acciones se proyecten en todo el sector público, dicho órgano debe poseer un perfil institucional claro y los poderes que le permitan el dictado de directrices de orientación y concreción.

Hacia la horizontalidad organizativo

del

modelo

La incidencia de las TIC se produce tanto en la organización como en la actividad. En el segundo aspecto, han impulsado el pasaje de la administración prestacional a una más marcadamente reguladora y de control, mediante entes personificados u órganos dotados de autonomía técnica o de desconcentración. 75

Información y Protección de Datos

Sin embargo, la e-administración plantea una descentralización operativa; es decir, el Estado descentralizado en internet, que se caracteriza por la integración en las redes y en los servicios de comunicaciones electrónicas del conjunto de los organismos públicos de cualquier naturaleza jurídica y posición institucional. En este tenor, determina un modelo de organización más horizontal, que habilita el acceso y la interoperabilidad, sustentado en una estructura de redes. Ello influye en la definición de los puestos de trabajo, a fin de actuar según un modelo en red, flexible y dirigido a proyectos y sus respectivas metas, desde una clara visión servicial. Igualmente, las redes más amplias requieren apertura a la participación ciudadana y un nivel básico de autorregulación, sin perjuicio de tener un marco regulador formal en la medida en la que atañe a la administración pública. En esta tesitura, existen múltiples modelos de coordinación; específicamente, en redes que responden a distintos tipos de interdependencia, inclusive con actores privados, que se acompañan de estilos diferentes de gestión: a) red no mediada, que se caracteriza por la participación voluntaria de organizaciones y por la coordinación derivada del hecho de la sola participación; b) red mediada, que comprende una autoridad coordinadora, de forma impuesta –vertical– o ejercida –horizontal–. En el ámbito público, las nuevas tecnologías contribuyen a una articulación más fuerte, al establecer nexos basados en la disposición de información estratégica confiable, con una actividad mancomunada, incluso, en el ámbito de lo que se ha 76

Impacto de las TIC en la administración pública

llamado descentralización por colaboración, que no es un sistema orgánico estatal ni se reduce al sector público, sino que comprende la actuación del sector privado; sobre todo, cuando desempeña cometidos públicos en virtud de modalidades como la concesión, si bien el sector público sigue siendo titular y responsable de las acciones emprendidas. Por ende, la accountability también les resulta aplicable.

Anotación final Las TIC marcan la configuración de un derecho administrativo de la información, actualizado, centrado en la persona y sus derechos fundamentales. Así, se enfoca no sólo en aspectos burocráticos de la organización, sino en los requerimientos del público, con una cultura profesional de calidad. Contempla la introducción y perfeccionamiento de institutos de gobierno directo y mecanismos de consulta y participación ciudadana en la gestión, lo que conduce a la democracia electrónica o ciberdemocracia; la atención en los resultados y el énfasis en controles ex post, y la relevancia de la adquisición de habilidades organizativas y gerenciales en el servicio civil, relacionada con la mencionada obtención de resultados. Además, coadyuvan a la información de las personas y empresas; el desarrollo ágil del procedimiento administrativo, y la reducción de costos. Paralelamente, fomentan la participación social e impulsan la transparencia, lo que encamina a la eficacia de los principios de control y responsabilidad. Sin perjuicio de estos 77

Información y Protección de Datos

aspectos, llevan también a una organización que, sin eliminar las modalidades clásicas, requiere una mayor coordinación y una estructura específica, capaz de promover y asegurar el apropiado uso de las tecnologías. El enorme cúmulo de datos recogidos y almacenados por las entidades públicas con la finalidad de cumplir sus cometidos, sumado al carácter de datos abiertos y disponibles para su análisis, lleva a la creación de valor y a la pertinencia de respetar el derecho humano fundamental de protección de los datos personales, a efecto de observar los principios en los cuales se basa. En este texto destaca el de finalidad o especificación de los fines que justifican los tratamientos de datos, que se liga directamente con el de especialidad, ya que delimita las competencias de los órganos públicos. Ellos, de ningún modo, se rigen por el principio de libertad.

Impacto de las TIC en la administración pública

Fuentes de consulta

Bauzá Reilly, Marcelo (2010), “La administración electrónica a la luz de los principios”, en Lorenzo Cotino Hueso y Julián Valero Torrijos (coord.), Administración electrónica. La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos y los retos jurídicos del e-gobierno en España, Tirant Lo Blanch, Valencia.

Centro Latinoamericano de Administración para el Desarrollo (2007), Carta Iberoamericana de Gobierno Electrónico aprobada por la IX Conferencia Iberoamericana de Ministros de Administración Pública y Reforma del Estado y adoptada por la XVII Cumbre Iberoamericana de Jefes de Estado de Gobierno, Centro Latinoamericano de Administración para el Desarrollo, Santiago de Chile, disponible en old.clad.org/ documentos/declaraciones/cartagobelec.pdf.

Organización Internacional del Trabajo (1997), Repertorio de recomendaciones prácticas sobre protección de la vida privada de los trabajadores, Oficina Internacional del Trabajo, Ginebra, disponible en www.ilo.org/wcmsp5/groups/ public/---ed_protect/---protrav/---safework/documents/ normativeinstrument/wcms_112625.pdf.

Información y Protección de Datos

Organización para la Cooperación y el Desarrollo Económicos (s/f), Recomendación del Consejo sobre gobierno abierto, disponible en www.oecd.org/gov/recomendaciondel-consejo-sobre-gobierno-abierto-141217.pdf.

Oszlak, Oscar (2014) “Gobierno abierto: hacia un nuevo paradigma de gestión pública”, en Oscar Oszlak y Ester Kaufman, Teoría y práctica del gobierno abierto: lecciones de la experiencia internacional, IDRC-CRDI/Red de Gobierno Electrónico de América Latina y el Caribe/Organización de Estados Americanos, disponible en redinpae.org/recursos/ kaufman-oszlak.pdf.

Prats i Catalá, Joan (2005), De la burocracia al management. Del management a la gobernanza. Las transformaciones de las administraciones públicas de nuestro tiempo, Instituto Nacional de Administración Pública, Barcelona.

Rotondo Tornaría, Felipe Eduardo (2015), “Las nuevas tecnologías, la gobernanza electrónica y la organización administrativa”, en Felipe Eduardo Rotondo Tornaría (coord.), Organización administrativa, Universidad de Montevideo, Montevideo.

Impacto de las TIC en la administración pública

Sommermann, Karl Peter (2010), “La exigencia de una administración transparente en la perspectiva de los principios de democracia y del Estado de Derecho”, en Ricardo Jesús García Macho (ed.), Derecho administrativo de la información y administración transparente, Marcial Pons, Madrid.

Infoem

Sobre los autores

Javier Martínez Cruz Es maestro en Administración y Políticas Públicas por el Centro de Investigación y Docencia Económicas y candidato a doctor en Gestión Estratégica y Políticas del Desarrollo por la Universidad Anáhuac. Cuenta con la Especialidad en Instituciones Administrativas de Finanzas Públicas por la Universidad Nacional Autónoma de México. En este país y en el extranjero, ha participado en diversos diplomados, foros y conferencias. Actualmente, destaca como comisionado del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios, cargo que desempeña desde 2014, y como coordinador de la Comisión de Protección de Datos Personales del Sistema Nacional de Transparencia, desde noviembre de 2017.

Información y Protección de Datos

Ximena Puente de la Mora Es doctora en Derecho por la Universidad de Guadalajara, maestra en Ciencias Jurídicas por la Universidad de Navarra y licenciada en Derecho por la Universidad de Colima. Desde 2003, se desempeña como profesora investigadora en la Universidad de Colima y en el Instituto Universitario de Investigaciones Jurídicas. A partir de 2008, es miembro con nivel 1 del Sistema Nacional de Investigadores del Consejo Nacional de Ciencia y Tecnología. Entre 2014 y 2017, fue comisionada presidenta del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Fue fundadora y presidenta del Sistema Nacional de Transparencia hasta mayo de 2017 y participó en la instalación del Sistema Nacional Anticorrupción.

Infoem

Miguel Recio Gayo Es máster en Derecho de la Propiedad Intelectual por la George Washington University Law School; máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU San Pablo, y doctorando en Derecho por la misma casa de estudios. Se desempeña en el Ilustre Colegio de Abogados de Madrid. Ha ganado distintos premios en materia de investigación jurídica sobre protección de los datos personales y derecho digital. También es autor y coautor de numerosas publicaciones en materia de protección de los datos personales y derecho de las TIC en España y Latinoamérica.

Información y Protección de Datos

Felipe Eduardo Rotondo Tornaría Es doctor en Derecho y Ciencias Sociales y doctor en Diplomacia por la Universidad de la República Oriental del Uruguay; además, es diplomado en Dirección en Administración Pública por el Instituto Nacional de Administración Pública de España. En la actualidad, se desempeña como consejero de la Unidad Reguladora y de Control de Datos Personales de Uruguay y, desde 2009, como integrante del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales, al que preside anualmente en alternancia con otro miembro. Adicionalmente, es catedrático de Derecho Administrativo en la Facultad de Derecho de la Universidad de la República Oriental del Uruguay.