Guía de Privacidad para Hispanohablantes 2012 (Privacy Guide For Spanish Speakers 2012)

Guia de Privacidad para Hispanohablantes 2012
ndice general

PREFACIO .......................................................................................... 13 MENCIONES ........................................................................................ 15 A. INFORMACIN GENERAL SOBRE PRIVACIDAD .................................... 16

RESUMEN............................................................................................................................................ 16 DEFINICIN DE LA PRIVACIDAD ............................................................................................................... 16 FACETAS DE LA PRIVACIDAD................................................................................................................... 17 MODELOS DE PROTECCIN DE LA PRIVACIDAD..........................................................................................18 EL DERECHO A LA PRIVACIDAD ............................................................................................................... 19 LA EVOLUCIN DE LA PROTECCIN DE DATOS ......................................................................................... 22 SUPERVISIN Y COMISIONADOS DE PRIVACIDAD Y PROTECCIN DE DATOS ..................................................28 FLUJOS TRANSFRONTERIZOS DE DATOS Y PARASOS DE DATOS ................................................................ 29
B. TEMAS SOBRE PRIVACIDAD ............................................................ 35

SISTEMAS DE IDENTIFICACIN Y CDULAS DE IDENTIDAD ........................................................................... 35 PRIVACIDAD EN EL CENTRO LABORAL .....................................................................................................48 SITIOS DE REDES SOCIALES Y COMUNIDADES VIRTUALES .......................................................................... 62 VIGILANCIA DE LAS COMUNICACIONES .................................................................................................... 66 AUTENTICACIN Y REVELACIN DE LA IDENTIDAD...................................................................................... 79 REGISTROS PBLICOS ......................................................................................................................... 83
C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85

ACERCA DEL EPHR .............................................................................................................................. 87 HALLAZGOS PRINCIPALES .................................................................................................................... 88 INVESTIGACIN Y ANLISIS ................................................................................................................... 90 CRITERIOS E INDICADORES .................................................................................................................. 119 RESULTADOS .................................................................................................................................... 126 METODOLOGA ................................................................................................................................... 127
D. UNIN EUROPEA ........................................................................... 133

I. VISIN GENERAL DEL MARCO LEGAL E INSTITUCIONAL........................................................................... 133 II. DIRECTIVA DE PROTECCIN DE DATOS .............................................................................................. 135 III. PRIVACIDAD Y COMUNICACIONES ELECTRNICAS ............................................................................... 138 IV. LA DIRECTIVA DE CONSERVACIN DE DATOS .....................................................................................139 V. PROTECCIN DE DATOS DE CARCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIN EUROPEA ........ 142 VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ................................................................ 142 VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A. ...................................................................................... 149 VIII. ACTORES REGULATORIOS CLAVE ....................................................................................................155
E. ESPAA ....................................................................................... 161

I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y PROTECCIN DE DATOS PERSONALES Y MARCO INSTITUCIONAL ................................................................................................................................... 161 II. CAMPOS DE ACCIN ...................................................................................................................... 168 III. LABOR DE DEFENSA DE LA PRIVACIDAD DE LAS ORGANIZACIONES NO GUBERNAMENTALES ...................... 183 IV. OBLIGACIONES INTERNACIONALES Y COOPERACIN INTERNACIONAL...................................................... 183
RECONOCIMIENTOS ........................................................................... 185

3
EXPERTOS NACIONALES QUE TOMARON PARTE EN EL EPHR 2010 AL ACTUALIZAR LOS INFORMES NACIONALES Y PROPORCIONAR INFORMACIN ADICIONAL .............................................................................................. 185 EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA INVESTIGACIN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD") .......................... 188 EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192
ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195

NOTICIAS SOBRE PRIVACIDAD .............................................................................................................. 195 FUENTES INSTITUCIONALES .................................................................................................................. 195
ndice detallado
PREFACIO .......................................................................................... 13 MENCIONES ........................................................................................ 15 A. INFORMACIN GENERAL SOBRE PRIVACIDAD .................................... 16
RESUMEN............................................................................................................................................ 16 DEFINICIN DE LA PRIVACIDAD ............................................................................................................... 16 FACETAS DE LA PRIVACIDAD................................................................................................................... 17 MODELOS DE PROTECCIN DE LA PRIVACIDAD..........................................................................................18
Leyes Integrales ....................................................................................................................................18 Leyes Sectoriales ..................................................................................................................................18 Autorregulacin .................................................................................................................................... 19 Tecnologas de la Privacidad ............................................................................................................. 19
EL DERECHO A LA PRIVACIDAD ............................................................................................................... 19 LA EVOLUCIN DE LA PROTECCIN DE DATOS ......................................................................................... 22

Razones para Adoptar Leyes Integrales ....................................................................................... 23 Directivas de Proteccin de Datos de la Unin Europea .......................................................... 23 La iniciativa de privacidad de la APEC ............................................................................................ 26 Proteccin de Datos Iberoamericana ............................................................................................ 27
SUPERVISIN Y COMISIONADOS DE PRIVACIDAD Y PROTECCIN DE DATOS ..................................................28 FLUJOS TRANSFRONTERIZOS DE DATOS Y PARASOS DE DATOS ................................................................ 29
Acuerdo de Puerto Seguro entre la Unin Europea y los Estados Unidos de Amrica ..... 31
B. TEMAS SOBRE PRIVACIDAD ............................................................ 35

SISTEMAS DE IDENTIFICACIN Y CDULAS DE IDENTIDAD ........................................................................... 35
Biomtrica ............................................................................................................................................. 37 Pasaportes Biomtricos ................................................................................................................... 40 Huellas Dactilares ................................................................................................................................ 42 Escaneo de Retina e Iris .................................................................................................................... 45 Geometra de Manos (Impresiones Palmares) ............................................................................ 46 Reconocimiento de Voz ...................................................................................................................... 47 Antecedentes Jurdicos ..................................................................................................................... 49 Vigilancia en el Centro Laboral......................................................................................................... 53 Monitoreo del Desempeo ................................................................................................................ 54 Monitoreo Telefnico .......................................................................................................................... 56 Monitoreo del Correo Electrnico, el Uso de Internet y de Blogs ......................................... 56 Pruebas de Consumo de Drogas ..................................................................................................... 59
PRIVACIDAD EN EL CENTRO LABORAL .....................................................................................................48
SITIOS DE REDES SOCIALES Y COMUNIDADES VIRTUALES .......................................................................... 62 VIGILANCIA DE LAS COMUNICACIONES .................................................................................................... 66
Protecciones Legales y Derechos Humanos................................................................................ 66 Normas Legales y Tcnicas para la Vigilancia: Construyendo al Gran Hermano ............... 68 Vigilancia en Internet: Cajas Negras y Registradores de Golpes de Tecla ........................... 71 Datos de Transacciones y de Ubicacin ........................................................................................ 72 Conservacin de Datos ...................................................................................................................... 72 Ciberdelincuencia: Iniciativas Internacionales en la Armonizacin de la Vigilancia ........... 74 Consejo de Europa .............................................................................................................................. 74 Organizacin para la Cooperacin y el Desarrollo Econmicos ............................................. 76
Seguridad Nacional, Agencias de Inteligencia y el Sistema Echelon.................................. 77
AUTENTICACIN Y REVELACIN DE LA IDENTIDAD...................................................................................... 79 REGISTROS PBLICOS ......................................................................................................................... 83
C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85

ACERCA DEL EPHR ............................................................................................................................. 87 HALLAZGOS PRINCIPALES .................................................................................................................... 88
Lo bueno ............................................................................................................................................... 88 Lo heroico ............................................................................................................................................. 88 Lo vergonzoso ..................................................................................................................................... 88 Lo malo .................................................................................................................................................. 89 Lo feo ..................................................................................................................................................... 89 Resumen de los Acontecimientos por Pas ................................................................................. 90
INVESTIGACIN Y ANLISIS ................................................................................................................... 90

Alemania ............................................................................................................................................................90 Antigua Yugoslavia Repblica de Macedonia ............................................................................................ 91 Austria ................................................................................................................................................................ 92 Blgica................................................................................................................................................................ 93 Bulgaria ............................................................................................................................................................. 95 Croacia ............................................................................................................................................................... 96 Chipre ................................................................................................................................................................. 96 Dinamarca ......................................................................................................................................................... 97 Eslovaquia ......................................................................................................................................................... 98 Eslovenia............................................................................................................................................................ 99 Espaa................................................................................................................................................................ 99 Estonia ............................................................................................................................................................. 100 Finlandia ............................................................................................................................................................ 101 Francia ............................................................................................................................................................... 101 Grecia ................................................................................................................................................................102 Hungra ............................................................................................................................................................. 103 Irlanda ............................................................................................................................................................... 104 Italia ................................................................................................................................................................... 105 Letonia ............................................................................................................................................................. 106 Lituania ............................................................................................................................................................ 106 Luxemburgo .................................................................................................................................................... 107 Malta ................................................................................................................................................................. 108 Noruega ........................................................................................................................................................... 108 Pases Bajos ..................................................................................................................................................... 110 Polonia ................................................................................................................................................................ 111 Portugal ............................................................................................................................................................. 112 Repblica Checa .............................................................................................................................................. 112 Rumania ............................................................................................................................................................. 113 Suecia ................................................................................................................................................................. 114 Suiza ....................................................................................................................................................................115 Turqua .............................................................................................................................................................. 116 Reino Unido ....................................................................................................................................................... 117 Unin Europea .................................................................................................................................................. 117 CRITERIOS E INDICADORES .................................................................................................................. 119
SALVAGUARDAS DEMOCRTICAS ........................................................................................................... 119 PROTECCIN CONSTITUCIONAL ............................................................................................................ 119 PROTECCIN LEGAL ............................................................................................................................... 119 LA PRIVACIDAD EN LA PRCTICA.......................................................................................................... 120 LIDERAZGO ............................................................................................................................................. 120 CDULAS DE IDENTIFICACIN Y DATOS BIOMTRICOS ........................................................................ 121 INTERCAMBIO DE DATOS ........................................................................................................................ 121
VIGILANCIA VISUAL ................................................................................................................................... 121 INTERCEPTACIN DE COMUNICACIONES .............................................................................................. 122 RETENCIN DE DATOS DE COMUNICACIONES ..................................................................................... 122 ACCESO GUBERNAMENTAL A DATOS .................................................................................................... 122 VIGILANCIA EN EL CENTRO LABORAL .................................................................................................... 123 PRIVACIDAD MDICA .............................................................................................................................. 123 PRIVACIDAD FINANCIERA........................................................................................................................ 124 PRIVACIDAD FRONTERIZA ...................................................................................................................... 124 SUPERVISIN DE LA VIGILANCIA Y DE LOS SERVICIOS DE INTELIGENCIA ......................................... 124 ADN .......................................................................................................................................................... 125
RESULTADOS .................................................................................................................................... 126 METODOLOGA ................................................................................................................................... 127

ACERCA DE NUESTRO ENFOQUE ANALTICO ......................................................................................... 127 CAMBIOS A NUESTRO ENFOQUE .......................................................................................................... 128 CLASIFICACIN VS. VALORACIN .......................................................................................................... 129 ENFOQUE NORMATIVO .......................................................................................................................... 130 ALGUNAS REFERENCIAS .......................................................................................................................... 131
D. UNIN EUROPEA ........................................................................... 133

I. VISIN GENERAL DEL MARCO LEGAL E INSTITUCIONAL........................................................................... 133 II. DIRECTIVA DE PROTECCIN DE DATOS .............................................................................................. 135
REVISIN DE LA DIRECTIVA DE PROTECCIN DE DATOS.................................................................... 137
III. PRIVACIDAD Y COMUNICACIONES ELECTRNICAS ............................................................................... 138 IV. LA DIRECTIVA DE CONSERVACIN DE DATOS .....................................................................................139 V. PROTECCIN DE DATOS DE CARCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIN EUROPEA ........ 142 VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ................................................................ 142
PROCESAMIENTO DE DATOS EN EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ) ......... 143
VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A. ...................................................................................... 149

LOS ACUERDOS DE INTERCAMBIO DE DATOS DE LOS REGISTROS DE NOMBRE DE LOS PASAJEROS (PNR) ......................................................................................................................................................150 PROGRAMA DE RASTREO DE FINANCIAMIENTO AL TERRORISMO (TFTP) ......................................... 153
VIII. ACTORES REGULATORIOS CLAVE ....................................................................................................155

EL SUPERVISOR EUROPEO DE PROTECCIN DE DATOS ......................................................................155 EL GRUPO DE TRABAJO DEL ARTCULO 29 ......................................................................................... 156 OTRAS REDES DE AUTORIDADES DE PROTECCIN DE DATOS .......................................................... 156
Redes de proteccin de datos formadas por iniciativa propia ........................................................ 156 Agencia Europea de Seguridad de las Redes y de la Informacin.................................................... 157 Agencia de los Derechos Fundamentales de la Unin Europea ......................................................... 157
EL CONSEJO DE EUROPA ....................................................................................................................... 158
E. ESPAA ....................................................................................... 161

I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y PROTECCIN DE DATOS PERSONALES Y MARCO INSTITUCIONAL ................................................................................................................................... 161
Derechos de privacidad y proteccin de datos personales recogidos en la Constitucin ................................................................................................................................................................. 161 Normas legales y reglamentos sobre los derechos de privacidad y proteccin de datos personales ............................................................................................................................................ 161 Agencia espaola de proteccin de datos ..................................................................................163 Jurisprudencia sobre los derechos de privacidad y proteccin de datos personales . 166 Seguridad Nacional, Vigilancia por parte del Gobierno y Aplicacin de la Ley .................. 168 7
Legislacin general ......................................................................................................................................... 161 Legislacin sectorial ...................................................................................................................................... 163
II. CAMPOS DE ACCIN ...................................................................................................................... 168
Internet y Privacidad del Consumidor .......................................................................................... 173
Escuchas, acceso a las comunicaciones e interceptacin ................................................................ 168 Legislacin sobre seguridad nacional ...................................................................................................... 170 Retencin de datos ........................................................................................................................................ 171 Bases de datos nacionales creadas para hacer cumplir ley y velar por la seguridad ............... 171 Acuerdos nacionales e internacionales sobre la divulgacin de datos .......................................... 172 Ciberdelincuencia........................................................................................................................................... 173 Infraestructura crtica ................................................................................................................................. 173 Comercio electrnico ................................................................................................................................... 173 Seguridad ciberntica .................................................................................................................................. 173 Marketing con base en el comportamiento en Internet y privacidad de los motores de bsqueda ......................................................................................................................................................... 173 Redes sociales y comunidades virtuales online ..................................................................................... 175 Seguridad para los jvenes en Internet .................................................................................................. 175 Vigilancia por videocmara ......................................................................................................................... 176 Privacidad de localizacin (GPS, telfonos mviles, servicios basados en la localizacin, etc.) .............................................................................................................................................................................177 Privacidad en los viajes (documentacin de identidad de viajero, biometra, etc.) y vigilancia fronteriza ......................................................................................................................................................... 178 Documento nacional de identidad y tarjetas inteligentes ................................................................. 178 Etiquetas RFID ................................................................................................................................................. 179
Privacidad Territorial ........................................................................................................................ 176
Privacidad Fsica ................................................................................................................................ 180 Privacidad en el Lugar de Trabajo ................................................................................................ 180 Privacidad Sanitaria y Gentica ..................................................................................................... 180
Privacidad Financiera ........................................................................................................................ 181 Administracin Electrnica y Privacidad ..................................................................................... 182 Gobierno Abierto ................................................................................................................................ 182 Otros Avances Recientes ................................................................................................................. 182
Privacidad sanitaria ..................................................................................................................................... 180 Privacidad gentica ........................................................................................................................................ 181
III. LABOR DE DEFENSA DE LA PRIVACIDAD DE LAS ORGANIZACIONES NO GUBERNAMENTALES ...................... 183 IV. OBLIGACIONES INTERNACIONALES Y COOPERACIN INTERNACIONAL...................................................... 183
RECONOCIMIENTOS ........................................................................... 185

EXPERTOS NACIONALES QUE TOMARON PARTE EN EL EPHR 2010 AL ACTUALIZAR LOS INFORMES NACIONALES Y PROPORCIONAR INFORMACIN ADICIONAL .............................................................................................. 185
Alemania ................................................................................................................................................ 185 Repblica de Austria .......................................................................................................................... 185 Reino de Blgica ................................................................................................................................ 186 Repblica de Bulgaria ....................................................................................................................... 186 Repblica de Croacia ........................................................................................................................ 186 Repblica de Chipre .......................................................................................................................... 186 Repblica Checa ................................................................................................................................. 186 Reino de Dinamarca .......................................................................................................................... 186 Repblica Eslovaca ............................................................................................................................ 186 Repblica de Eslovenia ..................................................................................................................... 186 Reino de Espaa ................................................................................................................................ 186 Repblica de Estonia ........................................................................................................................ 186 Repblica de Finlandia...................................................................................................................... 186 Repblica de Francia ........................................................................................................................ 186 Grecia .....................................................................................................................................................187 Repblica de Hungra ........................................................................................................................187 Repblica de Irlanda ..........................................................................................................................187 Repblica de Italia ..............................................................................................................................187
8
Repblica de Letonia .........................................................................................................................187 Repblica de Lituania.........................................................................................................................187 Luxemburgo .........................................................................................................................................187 Macedonia .............................................................................................................................................187 Malta.......................................................................................................................................................187 Reino de Noruega ...............................................................................................................................187 Pases Bajos .........................................................................................................................................187 Polonia .................................................................................................................................................. 188 Repblica de Portugal ...................................................................................................................... 188 Rumania ............................................................................................................................................... 188 Reino de Suecia .................................................................................................................................. 188 Suiza ...................................................................................................................................................... 188 Reino Unido.......................................................................................................................................... 188 Repblica de Turqua........................................................................................................................ 188 Unin Europea .................................................................................................................................... 188
EXPERTOS NACIONALES QUE FUERON PARTE DE ANTERIORES EDICIONES DE "PRIVACY & HUMAN RIGHTS: AN INTERNATIONAL SURVEY OF PRIVACY LAWS AND DEVELOPMENTS" ("PRIVACIDAD Y DERECHOS HUMANOS: UNA INVESTIGACIN INTERNACIONAL SOBRE LEYES Y EVENTOS VINCULADOS A LA PRIVACIDAD")........................... 188
Alemania ............................................................................................................................................... 189 Repblica de Austria ......................................................................................................................... 189 Reino de Blgica ................................................................................................................................ 189 Repblica de Bulgaria ....................................................................................................................... 189 Repblica de Chipre .......................................................................................................................... 189 Repblica Checa ................................................................................................................................. 189 Reino de Dinamarca .......................................................................................................................... 189 Repblica de Eslovaquia .................................................................................................................. 190 Repblica de Eslovenia ..................................................................................................................... 190 Reino de Espaa ................................................................................................................................ 190 Repblica de Estonia ........................................................................................................................ 190 Repblica de Finlandia...................................................................................................................... 190 Repblica de Francia ........................................................................................................................ 190 Grecia .................................................................................................................................................... 190 Repblica de Hungra ....................................................................................................................... 190 Repblica de Irlanda .......................................................................................................................... 191 Repblica de Italia .............................................................................................................................. 191 Repblica de Letonia ......................................................................................................................... 191 Repblica de Lituania......................................................................................................................... 191 Macedonia ............................................................................................................................................. 191 Malta....................................................................................................................................................... 191 Reino de Noruega ............................................................................................................................... 191 Pases Bajos ......................................................................................................................................... 191 Polonia .................................................................................................................................................. 192 Repblica de Portugal ...................................................................................................................... 192 Reino Unido.......................................................................................................................................... 192 Rumania ............................................................................................................................................... 192 Reino de Suecia .................................................................................................................................. 192 Suiza ...................................................................................................................................................... 192 Repblica de Turqua........................................................................................................................ 192 Unin Europea .................................................................................................................................... 192 Privacy International, Londres (Reino Unido)............................................................................. 192
EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192
Center for Media and Communication Studies, Central European University, Budapest (Hungra) ...............................................................................................................................................193 Electronic Privacy Information Center, Washington D.C. .........................................................193
ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195

NOTICIAS SOBRE PRIVACIDAD .............................................................................................................. 195
Noticias e Informes sobre Privacidad ........................................................................................... 195 Peridicos Informativos .................................................................................................................... 195 Comisionados Europeos de Privacidad......................................................................................... 195

FUENTES INSTITUCIONALES .................................................................................................................. 195

Alemania ........................................................................................................................................................ 195 Antigua Yugoslavia Repblica de Macedonia ....................................................................................... 195 Austria ............................................................................................................................................................196 Autoridades de Proteccin de Datos de Europa Central y Oriental .............................................196 Blgica ............................................................................................................................................................196 Bulgaria..........................................................................................................................................................196 Chipre .............................................................................................................................................................196 Croacia ...........................................................................................................................................................196 Dinamarca .....................................................................................................................................................196 Eslovenia ........................................................................................................................................................196 Espaa ............................................................................................................................................................196 Estonia ...........................................................................................................................................................196 Finlandia ........................................................................................................................................................196 Francia ...........................................................................................................................................................196 Grecia .............................................................................................................................................................196 Hungra ..........................................................................................................................................................196 Irlanda ............................................................................................................................................................196 Islandia ........................................................................................................................................................... 197 Italia ................................................................................................................................................................ 197 Letonia ........................................................................................................................................................... 197 Liechtenstein ................................................................................................................................................ 197 Lituania .......................................................................................................................................................... 197 Luxemburgo ................................................................................................................................................. 197 Malta ............................................................................................................................................................... 197 Noruega ......................................................................................................................................................... 197 Pases Bajos.................................................................................................................................................. 197 Polonia ........................................................................................................................................................... 197 Portugal ......................................................................................................................................................... 197 Repblica Checa .......................................................................................................................................... 197 Repblica de Eslovaquia ............................................................................................................................ 197 Rumania ......................................................................................................................................................... 197 Suecia ............................................................................................................................................................. 197 Suiza .............................................................................................................................................................. 198 Reino Unido .................................................................................................................................................. 198
Organizaciones Intergubernamentales y de Cooperacin Internacional........................... 198
Organizaciones No Gubernamentales .......................................................................................... 199 Informes de Derechos Humanos ................................................................................................... 199 Fuentes de privacidad adicionales de pases especficos ..................................................... 199
Unin Europea ................................................................................................................................................ 198 Consejo de Europa ....................................................................................................................................... 198 OCDE ................................................................................................................................................................. 198 APEC .................................................................................................................................................................. 198 Naciones Unidas ............................................................................................................................................. 198 Organizacin Mundial del Comercio ..........................................................................................................199 Cmara de Comercio Internacional ..........................................................................................................199 Grupo de Trabajo Internacional sobre Proteccin de Datos en Telecomunicaciones ...............199
Alemania ......................................................................................................................................................... 200
10
Austria ............................................................................................................................................................. 200 Blgica............................................................................................................................................................. 200 Bulgaria ............................................................................................................................................................201 Croacia ..............................................................................................................................................................201 Dinamarca ........................................................................................................................................................201 Eslovaquia ........................................................................................................................................................201 Eslovenia...........................................................................................................................................................201 Espaa...............................................................................................................................................................201 Estonia .............................................................................................................................................................202 Finlandia ..........................................................................................................................................................202 Francia .............................................................................................................................................................202 Grecia ...............................................................................................................................................................202 Hungra ............................................................................................................................................................202 Irlanda .............................................................................................................................................................. 203 Italia .................................................................................................................................................................. 203 Letonia ............................................................................................................................................................. 203 Lituania ............................................................................................................................................................ 203 Luxemburgo ...................................................................................................................................................204 Macedonia .......................................................................................................................................................204 Malta .................................................................................................................................................................204 Noruega ...........................................................................................................................................................204 Pases Bajos ...................................................................................................................................................204 Polonia .............................................................................................................................................................204 Repblica Checa ............................................................................................................................................ 205 Rumania ........................................................................................................................................................... 205 Suecia ............................................................................................................................................................... 205 Suiza ................................................................................................................................................................. 205 Turqua ........................................................................................................................................................... 206 Reino Unido .................................................................................................................................................... 206
11
12
Prefacio
Cedric Laurant Consulting y Privacy International se complacen en presentar esta Gua de Privacidad para Hispanohablantes 2012. Este documento es una traduccin del ingls al espaol de una seleccin de las partes ms relevantes y ms actuales de dos informes: la ultima edicin de Privacy & Human Rights 20061 (Privacidad y Derechos Humanos 2006) y European Privacy and Human Rights 20102 (Privacidad y Derechos Humanos en Europa (EPHR) 2010). Privacy & Human Rights es un informe anual publicado por el Electronic Privacy Information Center3 (EPIC) y Privacy International que proporciona una vista general de temas claves de privacidad y proteccin de datos y revisa el estado de la privacidad en ms de 75 pases alrededor del mundo. El informe resume las protecciones legales, nuevos desafos, los asuntos y los acontecimientos importantes que relacionan a la proteccin de la intimidad y datos. Publicada anualmente desde 1998, esta investigacin ha llegado a ser el anlisis ms completo sobre la intimidad global jams antes publicado. European Privacy and Human Rights 2010 es un proyecto realizado en el ao 2010 por Privacy International, EPIC y el Centro de Medios de Comunicacin y Ciencias de la Comunicacin4 (CMCS) de la Central European University (CEU) de Budapest en Hungra, financiado por el Programa Especial "Derechos Fundamentales y Ciudadana" de la Comisin Europea (2007-2013).

1 2
<https://www.privacyinternational.org/phr>. <https://www.privacyinternational.org/ephr>. 3 <http://www.epic.org/>. 4 <http://www.cmcs.ceu.hu/>.
13
14
Menciones
Por la preparacin de esta gua en espaol, agradecemos la participacin de:
Editor Traductor Correctora de texto y de estilo Diseo de portada
Cdric Laurant (Cedric Laurant Consulting) Phol Paucar Korina Velzquez Ros Design Loc
Gracias por la ayuda de
Gus Hosein (Privacy International)
La edicin de esta gua fue financiada por Cedric Laurant Consulting y la traduccin por Privacy International.
15
A. Informacin General sobre Privacidad

(Extracto de: Privacidad y Derechos Humanos 2006 )

Resumen
La privacidad es un derecho humano bsico. Esta sirve de fundamento a la dignidad y a otros valores tales como la libertad de asociacin y la libertad de expresin. La privacidad se ha vuelto uno de los derechos humanos contemporneos ms importantes.5 La privacidad es reconocida alrededor del mundo en distintas regiones y culturas. Est protegida en la Declaracin Universal de Derechos Humanos, en el Pacto Internacional de Derechos Civiles y Polticos, y en muchos otros tratados internacionales y regionales de Derechos Humanos. Prcticamente todos los pases en el mundo incluyen el derecho a la privacidad en su Constitucin. Como mnimo, estas disposiciones incluyen los derechos de inviolabilidad del domicilio y el secreto de las comunicaciones. Recientemente las constituciones escritas incluyen derechos especficos para acceder y controlar la propia informacin personal. En muchos de los pases en los cuales la privacidad no est reconocida de manera explcita en su Constitucin, los tribunales han localizado tal derecho en otras normas. En muchos otros, los acuerdos internacionales que reconocen el derecho a la privacidad tal como el Pacto Internacional de Derechos Civiles y Polticos o el Convenio Europeo de los Derechos Humanos han sido adoptados en su legislacin.
Definicin de la Privacidad
De todos los Derechos Humanos incluidos en los catlogos internacionales, la privacidad es quizs el ms difcil de definir.6 Las definiciones de privacidad varan ampliamente de acuerdo al contexto y al medio. En muchos pases, el concepto ha sido fusionado con el de proteccin de datos, el cual entiende a la privacidad en trminos del manejo de la informacin personal. Fuera de este, ms bien estrecho contexto, la proteccin de la privacidad es frecuentemente vista como un medio para trazar la lnea de frontera hasta la cual la sociedad puede inmiscuirse en los asuntos personales.7 La falta de una nica definicin no debe entenderse como una falta de importancia del tema. Cmo asever un escritor,

Marc Rotenberg, Protecting Human Dignity in the Digital Age (UNESCO 2000). James Michael, Privacy and Human Rights 1 (UNESCO 1994). 7 Simon Davies, Big Brother: Britain's Web of Surveillance and the New Technological Order 23 (Pan 1996).
6 5
16
"en cierta forma, todos los derechos humanos no son ms que distintas facetas del derecho a la privacidad".8 Algunas perspectivas sobre la privacidad: En la dcada de los 1890, el futuro Juez de la Corte Suprema de los Estados Unidos de Amrica Louis Brandeis estructur un concepto de privacidad que lo institua como el derecho a ser dejado solo o ser dejado en paz. Brandeis sostena que la privacidad era una de las libertades ms apreciadas en una democracia, y le preocup el hecho que deba estar contemplada en la Constitucin.9 Robert Ellis Smith, editor del Privacy Journal, defini a la privacidad como "el deseo de todos de un espacio fsico donde podamos estar libres de interrupciones, intromisiones, vergenza, u obligacin de dar cuenta y el intento de controlar el tiempo y la forma de revelar nuestra informacin personal."10 De acuerdo a Edward Bloustein, la privacidad es un beneficio de la personalidad humana. Esta protege la inviolabilidad de la personalidad, la independencia individual, la dignidad y la integridad.11 Segn Ruth Gavison, tres elementos conviven en la privacidad: el secreto, el anonimato y la soledad. Es un estado que puede perderse, ya sea por eleccin de la persona en dicho estado o por medio de la accin de otra persona.12 La Comisin Calcutt en el Reino Unido afirm, "en ningn lugar encontramos una definicin legal, completamente satisfactoria, de la privacidad." Pero la Comisin estuvo convencida de que se poda definir legalmente y adopt la siguiente definicin en su primer informe sobre la privacidad: El derecho de la persona a ser protegida de la intromisin en su vida o asuntos personales, o aquellos de la familia, por medios fsicos directos o por medio de la publicacin de informaciones.13 El Prembulo de la Australian Privacy Charter (Carta de Privacidad Australiana) dispone, "Una sociedad libre y democrtica exige el respeto de la autonoma de la persona, y limita el poder tanto del Estado como de las organizaciones privadas de interponerse en dicha autonomaLa privacidad es un valor clave que sostiene a la dignidad humana y a otros valores claves tales como la libertad de asociacin y la libertad de expresinLa privacidad es un derecho humano fundamental y una expectativa razonable de toda persona."14
Facetas de la Privacidad
La privacidad puede ser dividida en los siguientes conceptos separados pero relacionados:

Volio, Fernando, "Legal Personality, Privacy and the Family" in Henkin (ed), The International Bill of Rights (Columbia University Press 1981). 9 Samuel Warren and Louis Brandeis, The Right to Privacy, 4 Harvard Law Review 193-220 (1890). 10 Robert Ellis Smith, Ben Franklin's Web Site 6 (Sheridan Books 2000). 11 Privacy as an Aspect of Human Dignity, 39 New York University Law Review 971 (1964). 12 Privacy and the Limits of Law, 89 Yale Law Journal 421, 428 (1980). 13 Report of the Committee on Privacy and Related Matters, Chairman David Calcutt QC, 1990, Cmnd. 1102, London: HMSO, pgina 7. 14 "The Australian Privacy Charter," published by the Australian Privacy Charter Group, Law School, University of New South Wales, Sydney (1994).
8
17
Privacidad de la Informacin, la cual incluye el establecimiento de reglas que gobiernen la recoleccin y manejo de datos personales tales como informacin crediticia, y registros mdicos y gubernamentales. Esta tambin se conoce como "proteccin de datos"; Privacidad corporal, la cual se refiere a la proteccin del ser fsico de las personas ante procedimientos invasivos tales como pruebas genticas, pruebas de drogas y registro de cavidades; Privacidad de las comunicaciones, la cual se refiere a la seguridad y privacidad del correo, las llamadas telefnicas, los correos electrnicos y otras formas de comunicacin; y la Privacidad territorial, que se refiere a la fijacin de lmites a la intromisin en los medios domsticos y otros tales como el centro laboral o el espacio pblico. Este incluye los allanamientos, la video vigilancia y el control de identificacin.
Modelos de Proteccin de la Privacidad

Existen cuatro modelos principales de proteccin de la privacidad. Dependiendo de su aplicacin, estos modelos pueden ser complementarios o contradictorios. En la mayora de los pases evaluados en la investigacin, varios modelos son utilizados simultneamente. En los pases que protegen la privacidad de manera ms efectiva, todos los modelos se utilizan en conjunto para garantizar la proteccin de la privacidad.
Leyes Integrales
En muchos pases alrededor del mundo, existe una ley integral que regula la recoleccin, uso y diseminacin de informacin personal tanto del sector pblico como del privado. Una entidad supervisora, entonces, garantiza su cumplimiento. Este es el modelo preferido por la mayora de los pases que han adoptado leyes de proteccin de datos y fue adoptada por la Unin Europea para garantizar el cumplimiento de su rgimen de proteccin de datos. Una variante de estas leyes, la cul es descrita como "modelo co-regulatorio", fue adoptado en Canad y Australia. Bajo este enfoque, la industria desarrolla reglas para la proteccin de la privacidad que son implementadas por ella misma y supervisadas por la agencia de privacidad.
Leyes Sectoriales
Algunos pases, como los Estados Unidos de Amrica, han evitado promulgar reglas integrales de proteccin de la privacidad a favor de leyes sectoriales que gobiernan, por ejemplo, los registros de alquiler de videos y la privacidad financiera. En tales casos, la aplicacin se alcanza a travs de una variedad de mecanismos. Un gran inconveniente con este enfoque es que necesita que nueva legislacin se introduzca con cada nueva tecnologa de modo que las protecciones frecuentemente se quedan rezagadas. La falta de protecciones legales para la privacidad de las personas en Internet en los Estados Unidos de Amrica es un ejemplo notable de sus limitaciones. Tambin existe el problema de la falta de una agencia supervisora. En muchos pases, las leyes sectoriales son utilizadas para complementar una legislacin integral proporcionando protecciones ms detalladas para ciertas categoras de informacin, tales como las de telecomunicaciones, los archivos de la polica o los registros de crditos al consumidor.
18
Autorregulacin
La proteccin de datos puede tambin alcanzarse, al menos en teora, a travs de distintas formas de autorregulacin, en las cuales las compaas y los organismos industriales establecen cdigos de prctica y se comprometen en polticas propias. Sin embargo, en muchos pases, especialmente en los Estados Unidos de Amrica, estos empeos han sido decepcionantes, con poca evidencia que las metas de los cdigos sean cumplidos con regularidad. La adecuacin y el cumplimiento son los principales problemas con estos enfoques. Los cdigos de la industria en muchos pases han tendido a proporcionar solamente protecciones dbiles y falta de implementacin.
Tecnologas de la Privacidad
Con el reciente desarrollo de sistemas basados en tecnologa, disponibles comercialmente, la proteccin de la privacidad se ha desplazado a las manos de los usuarios individuales. Los usuarios de Internet y de algunas aplicaciones fsicas pueden emplear una diversidad de programas y sistemas que proporcionan distintos grados de privacidad y seguridad de las comunicaciones. Estas incluyen el cifrado, el reenvo con remitentes annimos que transfieren mensajes de correo electrnico de manera annima, servidores proxy y dinero digital.15 Los usuarios deben percatarse que no todas las herramientas protegen eficazmente la privacidad. Algunas estn deficientemente diseadas mientras que otras podran estar diseadas para facilitar el acceso de las fuerzas del orden. (Para un debate sobre este tema, dirjase a la subseccin de Tecnologas de Mejora de la Privacidad).
El Derecho a la Privacidad
El reconocimiento de la privacidad est profundamente enraizado en la historia. Se puede hallar el reconocimiento de la privacidad en el Corn16 y en los proverbios de Mahoma.17 La Biblia cuenta con numerosas referencias a la privacidad.18 La ley Juda ha reconocido por mucho tiempo el concepto de estar libre de la mirada de los dems.19 Tambin hubo protecciones en la Grecia clsica y en la antigua China.20 Protecciones legales han existido en los pases Occidentales por cientos de aos. En 1361, la Ley de Jueces de Paz en Inglaterra hizo posible el arresto de los mirones y fisgones.21 En 1765, el Lord ingls Camden, al anular una orden judicial de registro de domicilio y confiscacin de documentos escribi, "Podemos decir con seguridad que no existe ley en este pas para justificar a los acusados por lo que hicieron; si la hubiera, esta destruira todo el bienestar de la sociedad, pues los documentos son a menudo la propiedad ms preciada que un hombre puede tener."22 El parlamentario William Pitt escribi, "El hombre ms pobre en su rstica vivienda puede ofrecer resistencia a todo el poder de la Corona. Su vivienda podra ser precaria; su techo podra temblar; el

El Electronic Privacy Information Center (EPIC) mantiene una lista de herramientas de privacidad en <http://epic.org/privacy/tools.html>. 16 an-Noor 24:27-28 (Yusufali); al-Hujraat 49:11-12 (Yusufali). 17 Volume 1, Book 10, Number 509 (Sahih Bukhari); Book 020, Number 4727 (Sahih Muslim); Book 31, Number 4003 (Sunan Abu Dawud). 18 Richard Hixson, Privacy in a Public Society: Human Rights in Conflict 3 (1987). See also, Barrington Moore, Privacy: Studies in Social and Cultural History (1984). 19 Vea Jeffrey Rosen, The Unwanted Gaze (Random House 2000). 20 Id. pgina 5. 21 James Michael, supra, at 15. Justices of the Peace Act, 1361 (Eng.), 34 Edw. 3, c. 1. 22 Entick contra Carrington, 1558-1774 All E.R. Rep. 45.
15
19
viento podra soplar a travs de este; las tormentas podran ingresar; la lluvia podra pasar pero el Rey de Inglaterra no puede entrar; todas sus fuerzas no se atreven a cruzar el umbral de la casa en ruinas."23 Varios pases desarrollaron protecciones especficas para la privacidad en los siglos subsiguientes. En 1776, el Parlamento Sueco promulg la Ley de Acceso a los Registros Pblicos que estableca que toda la informacin, en manos del gobierno, fuera utilizada para propsitos legtimos. Francia prohibi la publicacin de hechos privados y fij fuertes multas para los transgresores en 1858.24 El Cdigo Penal Noruego prohibi la publicacin de informacin relacionada a "asuntos personales o domsticos" en 1889.25 En 1890, los abogados estadounidenses Samuel Warren y Louis Brandeis escribieron un artculo trascendental sobre el derecho a la privacidad como una accin de responsabilidad civil, describiendo a la privacidad como el "derecho a ser dejado a solas."26 Posterior a la publicacin, este concepto de responsabilidad relacionada a la privacidad fue gradualmente recogida a lo largo de los Estados Unidos de Amrica como parte de su sistema judicial. El punto de referencia moderno sobre la privacidad a nivel internacional puede hallarse en la Declaracin Universal de Derechos Humanos de 1948, la cual especficamente protege la privacidad territorial y de las comunicaciones.27 El Artculo 12 establece que: Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputacin. Toda persona tiene derecho a la proteccin de la ley contra tales injerencias o ataques. Diversos tratados internacionales de derechos humanos reconocen especficamente a la privacidad como un derecho.28 El Pacto Internacional de Derechos Civiles y Polticos (PIDCP), en su Artculo 17,29 la Convencin Internacional de las Naciones Unidas sobre la Proteccin de Todos los Trabajadores Migratorios y sus Familias, en su

Speech on the Excise Bill, 1763. The Rachel affaire. Judgment of June 16, 1858, Trib. pr. inst. de la Seine, 1858 D.P. III 62. See Jeanne M. Hauch, Protecting Private Facts in France: The Warren & Brandeis Tort is Alive and Well and Flourishing in Paris, 68 Tulane Law Review 1219 (Mayo 1994). 25 Vea Prof. Dr. Juris Jon Bing, Data Protection in Norway, 1996, disponible en http://www.jus.uio.no/iri/forskning/lib/papers/dp_norway/dp_norway.html> [visitado en 2007]. 26 Warren and Brandeis, supra. 27 Declaracin Universal de los Derechos Humanos, adoptada y proclamada por la Resolucin 217 A (III) de la Asamblea General el 10 de diciembre de 1948, disponible en <http://www.un.org/es/documents/udhr/>. 28 Vea en general, Marc Rotenberg, ed., The Privacy Law Sourcebook: United States Law, International Law and Recent Developments (EPIC 2003). 29 Pacto Internacional de Derechos Civiles y Polticos, adoptado y abierto para firmas, ratificacin y adhesin por Resolucin 2200A (XXI) de la Asamblea General el 16 de diciembre de 1966, entrada en vigor el 23 de marzo de 1976, disponible en <http://www2.ohchr.org/spanish/law/ccpr.htm>.
24 23
20
Artculo 14,30 y la Convencin de las Naciones Unidas para los Derechos del Nio, en su Artculo 1631 adoptan el mismo lenguaje.32 A nivel regional, varios tratados hacen de estos derechos legalmente exigibles. El Artculo 8 del Convenio Europeo para la Proteccin de los Derechos Humanos y Libertades Fundamentales 1950 (CEDHLF) establece: 1 Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia. 2 No podr haber injerencia de la autoridad pblica en el ejercicio de este derecho sino en tanto en cuanto esta injerencia est prevista por la ley y constituya una medida que, en una sociedad democrtica, sea necesaria para la seguridad nacional, la seguridad pblica, el bienestar econmico del pas, la defensa del orden y la prevencin de las infracciones penales, la proteccin de la salud o de la moral, o la proteccin de los derechos y las libertades de los dems.33 El Convenio cre la Comisin Europea de Derechos Humanos y la Corte Europea de Derechos Humanos para supervisar su cumplimiento. Ambas han sido activas en el cumplimiento de los derechos a la privacidad y consecuentemente han observado las protecciones del Artculo 8 de manera extensiva y han interpretado sus limitaciones de manera restringida.34 La Comisin determin en 1976: Para diversos escritores anglosajones y franceses, el derecho al respeto a la "vida privada" es el derecho a la privacidad, el derecho a vivir, hasta el punto que uno desee, protegido de la publicidad.Sin embargo, en la opinin de la Comisin, el derecho al respeto a la vida privada no termina ah. Este comprende tambin, hasta cierto grado, el derecho a establecer y desarrollar relaciones con otros seres humanos, especialmente en el campo emocional para el desarrollo y realizacin de la propia personalidad.35 La Corte ha revisado las leyes de los Estados Miembros y ha impuesto sanciones a varios pases por no regular las escuchas telefnicas por parte de los gobiernos y de particulares.36 Esta tambin ha revisado casos de acceso de personas a su informacin

Convencin Internacional sobre la proteccin de los derechos de todos los trabajadores migratorios y de sus familias, aprobada por la Asamblea General por Resolucin 45/158 del 18 de diciembre de 1990, disponible en <http://www.unhcr.org/cgibin/texis/vtx/refworld/rwmain/opendocpdf.pdf?reldoc=y&docid=4c0f58af2>. 31 Convencin de los Derechos del Nio, adoptada y abierta a la firma, ratificacin e incorporacin por la Asamblea General por Resolucin 44/25 del 20 de noviembre de 1989, entrada en vigor 2 de septiembre de 1990, disponible en <http://www2.ohchr.org/spanish/law/crc.htm>. 32 Vea en general, Lee Bygrave, Data Protection Pursuant to the Right of Privacy in Human Rights Treaties, 6 International Journal of Law and Information Technology 247-284 (1998), disponible en <http://folk.uio.no/lee/oldpage/articles/Human_rights.pdf>. 33 Consejo de Europa, Convenio para la Proteccin de los Derechos Humanos y las Libertades Fundamentales, (ETS No: 005) abierto para firma el 4 de noviembre de 1950, entrada en vigor el 3 de septiembre de 1950, disponible en <http://www.echr.coe.int/NR/rdonlyres/1101E77A-C8E1-493F-809D800CBD20E595/0/ESP_CONV.pdf>. 34 Nadine Strossen, Recent United States and International Judicial Protection of Individual Rights: A Coparative Legal Process Analysis and Proposed Synthesis, 41 Hastings Law Journal 805 (1990). 35 X contra Iceland, 5 Eur. Comm'n H.R. 86.87 (1976). 36 European Court of Human Rights, Case of Klass and Others: Judgment of 6 September 1978, Series A No. 28 (1979). Malone v. Commissioner of Police, 2 All E.R. 620 (1979). Vea la Nota, Secret Surveillance and the European Convention on Human Rights, 33 Stanford Law Review 1113, 1122 (1981).
30
21
personal en archivos gubernamentales para garantizar que existen procedimientos adecuados con este propsito.37 Esta ha hecho extensivas las protecciones del Artculo 8 ms all de las acciones gubernamentales a aquellas ejecutadas por particulares donde pareca que el gobierno debi haber prohibido dichas acciones.38 Otros tratados regionales estn tambin empezando a ser utilizados para proteger la privacidad. El Artculo 11 de la Convencin Americana sobre Derechos Humanos estipula el derecho a la privacidad en trminos similares a los de la Declaracin Universal.39 En 1965, la Organizacin de Estados Americanos proclam la Declaracin Americana de los Derechos y Deberes del Hombre, la cual estableci la proteccin de varios derechos humanos, entre ellos el de privacidad.40 La Corte Interamericana de Derechos Humanos ha empezado a ocuparse de problemas de privacidad en sus casos.
La Evolucin de la Proteccin de Datos

El inters en el derecho a la privacidad se increment en las dcadas de 1960 y 1970 con el advenimiento de la tecnologa de la informacin. El potencial de vigilancia de poderosos sistemas de computacin impulsaron las exigencias por normas especficas que rijan la recoleccin y el manejo de informacin personal. La gnesis de la legislacin moderna en esta rea puede ser rastreada hasta la primera ley de proteccin de datos en el mundo promulgada en el Estado Federado de Hesse en Alemania en 1970. Ello fue seguido por leyes nacionales en Suecia (1973), los Estados Unidos de Amrica (1974), Alemania (1977), y Francia (1978).41 Dos instrumentos internacionales fundamentales, se desarrollaron a partir de estas leyes. La Convencin para la Proteccin de las Personas con respecto al Tratamiento Automatizado de Datos de Carcter Personal del Consejo de Europa en 198142 y las Directrices que Gobiernan la Proteccin de la Privacidad y el Intercambio Transfronterizo de Datos Personales de la Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE)43 fijan normas especficas que se ocupan del manejo de datos electrnicos. Estas normas, describen a la informacin personal como datos a los que se les suministra proteccin desde su recoleccin hasta su almacenamiento y difusin. La locucin "proteccin de datos" vara en distintas declaraciones y leyes. Sin embargo, todas exigen que la informacin personal deba ser:

37 38
obtenida de manera justa y legal; utilizada slo para el especfico propsito original; adecuada, relevante y no excesiva con relacin a su propsito;

Judgment of 26 March 1987 (Leander Case). Id. pginas 848-49. 39 Suscrita el 22 de noviembre de 1959 entr en vigor el 18 de Julio de 1978, O.A.S. Treaty Series No. 40 O.E.A. Res XXX, adoptada por la Novena Conferencia de Estados Americanos, 1948 OEA/Ser/. L./V/I.4 Rev (1965). 41 Un excelente anlisis de estas leyes se encuentra en David Flaherty, Protecting Privacy in Surveillance Societies (University of North Carolina Press 1989). 42 ETS No. 108, Estrasburgo, 1981, disponible en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/convenios/comm on/pdfs/convenio_108_consejo_europa.pdf>. 43 OECD, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data" (1981), disponible en <http://www.oecd.org/document/18/0,3343,en_2649_201185_1815186_1_1_1_1,00.html>.
22
exacta y actualizada; accesible al sujeto; mantenida de forma segura; y destruida despus de que haya logrado su propsito.
Estos dos acuerdos han tenido un profundo efecto en la promulgacin de leyes alrededor del mundo. Casi treinta pases han suscrito la convencin del Consejo de Europa y muchos otros estn planeando hacerlo pronto. Las Directrices de la OCDE tambin han sido ampliamente utilizadas en la legislacin nacional, incluso fuera de los Estados Miembros de la OCDE.
Razones para Adoptar Leyes Integrales

Existen tres grandes razones para la tendencia a favor de leyes integrales de privacidad y proteccin de datos. Muchos pases estn adoptando estas leyes por una o ms razones. Para reparar antiguas injusticias. Muchos pases, especialmente en Europa Central, Amrica del Sur y en el Sur de frica, estn adoptando leyes para reparar las violaciones a la privacidad que ocurrieron bajo anteriores regmenes autoritarios. Para promover el comercio electrnico. Muchos pases, especialmente en Asia, han desarrollado o estn desarrollando leyes en un esfuerzo para promover el comercio electrnico. Estos pases reconocen que los consumidores estn preocupados con el incremento de la disponibilidad de sus datos personales, particularmente con los nuevos medios de identificacin y formas de transaccin. Estos pases tambin reconocen que los consumidores estn inquietos con la posibilidad de que su informacin personal sea susceptible de ser enviada al exterior. Las leyes de privacidad estn siendo introducidas como parte de un paquete de leyes dirigidas a facilitar el comercio electrnico por medio de la fijacin de reglas uniformes. Para garantizar leyes que sean consistentes con aquellas paneuropeas. La mayora de los pases en Europa Central y Oriental estn adoptando nuevas leyes basadas en el Convenio del Consejo de Europa No. 108 y la Directiva de Proteccin de Datos de la Unin Europea. Muchos de estos pases esperan ser parte de la Unin Europea en un futuro cercano. Pases de otras regiones estn adoptando nuevas leyes o actualizando antiguas para garantizar que el comercio no sea afectado por las exigencias de la Directiva de la Unin Europea.
Directivas de Proteccin de Datos de la Unin Europea

En 1995, la Unin Europea promulg la Directiva de Proteccin de Datos con el fin de armonizar las leyes de los Estados Miembros, estipulando niveles coherentes de proteccin para los ciudadanos y garantizando el libre flujo de datos personales dentro de la Unin Europea. La directiva fij una lnea base comn de privacidad que no slo refuerza la actual ley de proteccin de datos, sino que tambin establece una gama de nuevos derechos. Esta se aplica al procesamiento de la informacin personal en archivos electrnicos y fsicos.44

Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre ciruculacin de estos datos, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/95-46ce/dir1995-46_part1_es.pdf>.
44
23
Un concepto clave en el modelo europeo de proteccin de datos es su "exigibilidad." Los titulares de la informacin tienen derechos establecidos en normas explcitas. Todos los pases de la Unin Europea tienen un comisionado de proteccin de datos o una agencia encargada de hacer cumplir las normas. Se espera que los pases con los que Europa hace negocios precisen estipular un nivel similar de supervisin. Los principios bsicos establecidos por la Directiva son: el derecho a saber donde se originaron los datos; el derecho de tener rectificados los datos imprecisos; el derecho a un recurso ante la autoridad en el caso de un procesamiento ilegal de los datos; y el derecho a negar el permiso para la utilizacin de datos en algunas circunstancias. Por ejemplo, los individuos tienen el derecho sin cargo alguno de decidir no participar en la recepcin de material de mercadeo directo. La Directiva contiene protecciones reforzadas sobre el uso de datos personales sensibles relativos, por ejemplo, a la salud, la vida sexual o sus creencias religiosas o filosficas. En el futuro, el uso comercial o gubernamental de tal informacin en general requerir de un consentimiento "explcito e inequvoco" del titular de la informacin. La Directiva de 1995 impone la obligacin sobre los Estados Miembros de garantizar que la informacin personal correspondiente a ciudadanos europeos tenga el mismo nivel de proteccin cuando se exporte, y procese en pases fuera de la Unin Europea. Este requisito ha ocasionado una creciente presin fuera de Europa para aprobar leyes de privacidad. Aquellos pases que se rehsen a adoptar leyes adecuadas de privacidad seran incapaces de conducir la transmisin de cierto tipo de flujos de informacin con Europa, particularmente si estos involucran datos sensibles. En 1997, la Unin Europea complement la Directiva de 1995 con la introduccin de la Directiva de Privacidad de las Telecomunicaciones.45 Esta Directiva estableci protecciones especficas que cubren la telefona, la televisin digital, las redes mviles y otros sistemas de telecomunicaciones. sta impone una amplia gama de obligaciones a las empresas portadoras y proveedoras de servicios para asegurar la privacidad de las comunicaciones de los usuarios, incluyendo las actividades relacionadas a Internet. La norma cubre reas que, hasta entonces, haban cado en los vacios de las leyes de proteccin de datos. El acceso a los datos de facturacin fue severamente restringido, lo mismo que las actividades de mercadeo. Se requiri que la tecnologa de identificacin de llamadas incorpore una opcin para bloqueo por lnea del nmero de transmisin. Se requiri que la informacin recolectada en la entrega de una comunicacin se purgue una vez que fuese completada la llamada. En julio de 2000, la Comisin Europea expidi una propuesta para una nueva directiva sobre privacidad en el sector de las comunicaciones electrnicas. La propuesta fue introducida como parte de un paquete ms grande de directivas de telecomunicaciones dirigidas a reforzar la competencia dentro del mercado europeo de las comunicaciones electrnicas. Como se propuso originalmente, la nueva directiva habra reforzado los derechos a la privacidad de los individuos por medio de la ampliacin de las protecciones que ya estaban en vigor para las telecomunicaciones a una categora ms amplia, y ms tecnolgicamente neutral de "comunicaciones electrnicas." Sin embargo, durante el proceso, el Consejo de Ministros empez a presionar por la inclusin de unas disposiciones de retencin de datos, que requeran a los Proveedores

Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de Diciembre de 1997 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las telecomunicaciones (Directiva), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0001:ES:PDF>.
45
24
del Servicio de Internet y a los operadores de telecomunicaciones el almacenar registros de todas las llamadas telefnicas, correos electrnicos, faxes, y actividad en Internet para propsitos de mantenimiento del orden pblico. Estas propuestas fueron fuertemente resistidas por la mayora de los miembros del Parlamento. En julio de 2001, la Comisin de las Libertades Civiles del Parlamento Europeo aprob el borrador de la directiva sin la retencin de datos, estableciendo que: La Comisin de las Libertades Civiles (Comisin LIBE) se expres a favor de una regulacin estricta del acceso a datos personales de los ciudadanos, tales como el trfico de las comunicaciones y la ubicacin de datos, por parte de las fuerzas del orden. Esta decisin es trascendental debido a que de esta manera el Parlamento Europeo bloquea los esfuerzos realizados por los Estados de la Unin Europea en el Consejo para poner a sus ciudadanos bajo una generalizada y omnipresente vigilancia, siguiendo el modelo Echelon. Sin embargo, luego de los eventos del 11 de septiembre, el clima poltico cambi y el Parlamento estuvo bajo presin creciente por parte de los Estados Miembros para adoptar la propuesta del Consejo sobre la retencin de datos. El Reino Unido y los Pases Bajos, en particular, cuestionaron si las normas de privacidad propuestas todava iban en la direccin de "un justo balance entre la privacidad y las necesidades de las fuerzas del orden a la luz de combate contra el terrorismo."46 El Parlamento resisti firme y hasta algunas semanas antes del voto final del 30 de mayo de 2002, la mayora de los Miembros del Parlamento se opusieron a cualquier forma de retencin de datos. Finalmente, despus de mucha presin por parte del Consejo de Europa y de los gobiernos de la Unin Europea, y una buena labor de cabildeo por parte de dos miembros espaoles del Parlamento Europeo,47 los dos principales partidos (PPE y PSE, los partidos de centro derecha y de centro izquierda respectivamente) alcanzaron un acuerdo para votar en favor de la posicin del Consejo. El 25 de junio de 2002 el Consejo de la Unin Europea adopt la Directiva de Privacidad y de Comunicaciones Electrnicas tal como se vot en el Parlamento.48 Bajo los trminos de la nueva Directiva, los Estados Miembros podran ahora aprobar leyes autorizando la retencin de los datos de trfico y de ubicacin de todas las comunicaciones que ocurran a travs de telfonos mviles, el servicio de mensajes cortos (SMS), telfonos fijos, faxes, correos electrnicos, canales de conversacin, Internet, o cualquier otro mecanismo de comunicacin electrnica. Tales requerimientos pueden ser implementados para propsitos que varen desde la seguridad nacional hasta la prevencin, investigacin y procesamiento de infracciones criminales. El 15 de marzo de 2006, el Consejo de la Unin Europea adopt una Directiva sobre Retencin obligatoria de Datos de trfico de Comunicaciones, la cual exige a los Estados Miembros requerir a los proveedores de comunicaciones a retener datos de comunicaciones por un periodo entre 6 meses a 2 aos. Los Estados Miembros tuvieron plazo hasta el 16 de septiembre de 2007 para trasladar las exigencias de la Directiva en

Jelle van Buuren, "Telecommunication Council Wants New Investigation Into Privacy Rules," Heise Online, 17 de octubre de 2001. 47 Respectivamente, los Miembros del Parlamento Europeo Ana Palacio Vallelersundi y Elena Paciotti, miembros del PPE (Partido Popular Europeo/Democratacristianos) y PSE (Socialdemcratas) partidos polticos. 48 Directiva 2002/58/CE del Parlamento Europeo y del Consejo del 12 de Julio de 2002 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas (Directiva sobre privacidad y comunicaciones electrnicas), disponible en <http://www.eurowind.net/Sitio2004/LOPD/Descargas/Directiva-2002-58-CE.pdf>.
46
25
leyes nacionales; sin embargo, una postergacin de 18 meses, hasta marzo de 2009, est disponible. Diecisis de los 27 Estados Miembros de la Unin Europea han declarado que postergarn la implementacin de la retencin de datos de trfico de Internet por el periodo adicional.49 La implementacin de la Directiva de Retencin de Datos continua siendo controversial. En otras reas, la Directiva de Privacidad y de Comunicaciones Electrnicas ha tenido un resultado ms favorable. Por ejemplo, aade nuevas definiciones y protecciones para las "llamadas," "comunicaciones," "datos de trfico" y "datos de ubicacin" con el fin de mejorar el derecho a la privacidad y el control en todos los tipos de procesamiento de datos de los consumidores. Estas nuevas disposiciones aseguran la proteccin de toda la informacin ("trfico") transmitida a travs de Internet, prohbe el mercadeo comercial no solicitado por correo electrnico ("correo comercial no solicitado o spam") sin previo consentimiento, y protege a los usuarios de telfonos mviles del rastreo y la vigilancia de su ubicacin precisa. La directiva tambin les da a los abonados a todos los servicios de comunicacin electrnica (tales como el Sistema Global para Comunicaciones Mviles (GSM, en ingls) y el correo electrnico) el derecho a estar o no enlistados en un directorio pblico.
La iniciativa de privacidad de la APEC

Las 21 economas de la APEC (Foro de Cooperacin Econmica Asia-Pacfico) iniciaron el ao 2003 el desarrollo de un estndar de privacidad del Asia-Pacfico, y en 2004 podran desarrollar un procedimiento para el tratamiento de los problemas de limitacin de exportacin de datos.50 sta podra tornarse en la iniciativa internacional ms significativa sobre privacidad desde la aparicin de la Directiva de Proteccin de Datos de la Unin Europea a mediados de la dcada de 1990. En febrero de 2003, Australia present una propuesta para el desarrollo de los Principios de Privacidad de la APEC, utilizando las Directrices de la OCDE sobre Proteccin de la Privacidad y Flujos Transfronterizos de Datos Personales (1980)51 que ya cuentan con ms de 20 aos, como punto de partida.52 Un Sub-grupo de Privacidad, fue establecido con la participacin de Australia, Canad, China, Hong Kong, Japn, Corea, Malasia, Nueva Zelanda, Tailandia y los Estados Unidos de Amrica. En marzo de 2004, la Versin 9 de los Principios de Privacidad de la APEC fue publicada como borrador de consulta pblica.53 Los Ministros de la APEC respaldaron el Marco de Privacidad de la APEC en Noviembre de 2004. Los mecanismos de implementacin, entre ellos el mecanismo vinculado al flujo transfronterizo de datos se halla actualmente bajo consideracin pero todava ningn borrador se ha hecho pblico. El aspecto positivo de la iniciativa de privacidad de la APEC es que esta tiene el potencial para alentar el desarrollo de muy slidas leyes de privacidad en aquellas

Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la directiva 2002/58/CE, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>. 50 Para informacin sobre APEC y sus 21 economas miembros vea la pgina web de la Secretara de APEC <http://www.apec.org/About-Us/APEC-Secretariat.aspx>. 51 OCDE, Paris, 1980 <http://www.oecd.org/home/0,2987,en_2649_201185_1_1_1_1_1,00.html>. 52 Estos documentos pueden obtenerse en <http://www.apecsec.org.sg/> [visitado en 2007] en el Directorio de Publicaciones/Publicaciones y Biblioteca/Comercio Electrnico. 53 <http://wayback.archive.org/web/*/http://export.gov/apececommerce/privacy/consultation-draft.pdf>. Vea en general <http://www.export.gov/apececommerce/> [visitado en 2007].
49
26
economas de la APEC que actualmente proporcionan poca proteccin de la privacidad (la mayora), y ayudar a encontrar un balance regional entre la proteccin de la privacidad y los beneficios econmicos del comercio que involucra datos personales. El aspecto negativo es que a la vez presenta peligros potenciales considerables a largo plazo para la proteccin regional de la privacidad si este se vuelve un medio por el cual las economas del APEC acepten una norma de segunda categora. A nivel mundial, un alto estndar de la norma de APEC podra ser un medio para resolver los problemas internacionales de exportacin de datos, pero un bajo estndar de la norma de APEC podra arraigar una confrontacin sobre la privacidad entre Europa y el Asia-Pacfico. La historia de la iniciativa de la APEC hasta la fecha muestra que los peligros son tan grandes como los potenciales beneficios, pero un resultado valioso para la proteccin de la privacidad todava es posible. Las crticas a los Principios de la APEC enfatizan que estos ni siquiera alcanzan el nivel de la norma de la OCDE de hace ms de 20 aos, en tanto que debera incluir algunos refuerzos significativos donde las directrices de la OCDE actualmente son muy dbiles.54 Tanto la Australian Privacy Foundation (APF) como la Asian Pacific Privacy Charter Council (APPCC)55 han identificado56 muchas debilidades importantes.57 El Sub-Grupo de Privacidad esta tambin considerando elaborar Mecanismos de Implementacin, los cuales en sus primeros borradores (Versin 3) tenan debilidades cardinales en comparacin con anteriores instrumentos internacionales de privacidad.58 Estas propuestas iniciales generan dudas sobre si el proceso seguido por la APEC ser capaz o no de proteger adecuadamente los derechos humanos en toda la regin AsiaPacfico.
Proteccin de Datos Iberoamericana

Los problemas regionales de privacidad tambin estn bajo consideracin en Amrica Latina. En 2007, en un seminario realizado en Colombia, representantes de doce pases

Vea la serie de artculos de Graham Greenleaf en <http://www.bakercyberlawcentre.org/appcc/> los cuales rastrean estas crticas a travs de sucesivas versiones de los principios de la APEC 55 El APPCC es un grupo regional experto formado en el 2003 para desarrollar normas independientes para la proteccin de la privacidad en la regin Asia-Pacfico, con el fin de influir en la aprobacin de leyes de privacidad y de acuerdos internacionales en la regin en concordancia con dichas normas. Vea <http://www.bakercyberlawcentre.org/appcc/>. 56 Vea <http://www.privacy.org.au/Papers/APEC0403.html> (APF) y <http://www.bakercyberlawcentre.org/appcc/> (APPCC). 57 Las categoras de "excepciones nacionales" no estn rigurosamente fijadas, y deben al menos ser identificadas en trminos generales; existen controles ineficaces sobre el alcance particular de todas las "excepciones nacionales;" una notificacin a ser distribuida a los individuos de quienes se recolecta informacin no se solicita claramente; la recoleccin no esta limitada al mnimo de informacin necesaria para el propsito; los usos secundarios estn permitidos por propsitos "compatibles," un argumento poco convincente; la elevacin de una "opcin" (o consentimiento) a un Principio distinto facilita la transformacin de la privacidad en una mercanca; las razones de "marca registrada comercial" no deben ser una excepcin para el acceso y la correccin; la "Maximizacin de Beneficios" no debe volverse un Principio; la Especificacin de los Principios de Propsito de la OCDE, la Apertura y la Limitacin de la Exportacin de Datos faltan y su contenido debe ser restablecido; al menos un Principio de Supresin adicional debe aadirse para un grupo mnimo de Principios. 58 La implementacin nacional por ley no se requiere, con economas a las que se les permite escoger que opciones de implementacin son suficientes para dar efecto al fundamento de los Principios. No existe una identificacin de las circunstancias en las cuales las restricciones de la exportacin de datos personales pueden ser legtimas (contra OCDE). El mtodo ms enrgico de evaluacin de la no conformidad nacional en consideracin es "la auto evaluacin de las economas asociada con la evaluacin entre pares."
54
27
de Amrica Latina, adems de Espaa y Portugal, hicieron hincapi en la necesidad de implementar medidas de armonizacin para la proteccin de datos personales que podran permitir el libre flujo de informacin, por tanto facilitar el comercio. Los diferentes niveles de proteccin de datos en Amrica Latina y Europa son un obstculo para las actividades econmicas que requieran un flujo constante de informacin, y particularmente debido a que muy pocos pases de Latinoamrica cuentan con legislacin en esta rea. Las directrices y principios bsicos de la proteccin de datos que son tradicionalmente utilizados en los acuerdos internacionales en el rea, tales como los principios vinculados al propsito y la calidad de los datos, y los derechos de acceso, correccin, cancelacin y oposicin de los titulares de los datos, fueron establecidos y se acord que estos seran traspuestos a leyes nacionales.59
Supervisin y Comisionados de Privacidad y Proteccin de Datos

Un aspecto esencial de cualquier rgimen de proteccin de datos es la supervisin. En la mayora de los pases con una ley integral de proteccin de datos o privacidad, existe un funcionario o una agencia oficial que supervisa el cumplimiento de la ley. Los poderes de estos funcionarios, Comisionado, Defensor del Pueblo o Secretario General, vara ampliamente de pas a pas. Muchos pases entre ellos Alemania y Canad, tambin tiene funcionarios u oficinas a nivel estatal o provincial. De acuerdo al Artculo 28 de la Directiva de Proteccin de Datos de la Unin Europea, todos los pases de la Unin Europea deben contar con un organismo de cumplimiento independiente. De acuerdo a la Directiva, a estas agencias se les est dando poderes considerables: los gobiernos deben necesariamente consultar al organismo cuando el gobierno redacta legislacin vinculada al procesamiento de informacin personal; los organismos tambin tienen el poder para conducir investigaciones y tiene derecho a acceder a informacin relevante para sus investigaciones; imponer reparaciones como el ordenar la destruccin de informacin o la prohibicin de su procesamiento, e iniciar los procedimientos legales, escuchar quejas y emitir informes. El funcionario es tambin generalmente responsable de la educacin del pblico y de las alianzas internacionales relativas a proteccin y transferencia de datos. Muchas autoridades tambin mantienen el registro de controladores de datos y de bases de datos. Estos deben aprobar las licencias para controladores de datos. Muchos pases que no cuentan con una ley integral todava tienen un comisionado. Uno de los principales poderes de estos funcionarios es el de dirigir la atencin pblica en reas problemticas, incluso cuando no cuentan con ninguna autoridad para solucionar el problema. Ellos pueden hacer esto a travs de la promocin de cdigos de prctica y del aliento a asociaciones industriales para adoptarlos. Ellos tambin pueden utilizar sus informes anuales para sealar problemas. Por ejemplo, en Canad, el Comisionado Federal de Privacidad anunci en su informe de 2000 la existencia de una amplia base de datos mantenida por el gobierno federal. Una vez que el problema se hizo pblico, el Ministro desmantel la base de datos. En varios pases, este funcionario tambin se ocupa de hacer cumplir la Ley de Libertad de Informacin de la jurisdiccin. Entre estos pases se encuentran Hungra, Estonia,

Dataprotectionreview.eu, Spanish Data Protection Agency: Representatives of different institutions establish guidelines for the regulation of data protection in Iberoamerica, 25 de junio de 2007, <http://www.dataprotectionreview.eu/>.
59
28
Tailandia, Alemania y el Reino Unido. A nivel sub-nacional, muchos de los Comisionados Alemanes de Provincias (Lnder, en alemn) han recibido recientemente poderes de comisionado de informacin, y la mayora de las agencias provinciales de Canad se ocupan tanto de la proteccin de datos como de la libertad de informacin. Un problema importante en muchas agencias alrededor del mundo es la falta de recursos para conducir adecuadamente la supervisin y la aplicacin. Muchos son agobiados con los sistemas de licenciamiento, que utilizan muchos de sus recursos. Otros tienen mucho trabajo atrasado relacionado a quejas o son incapaces de conducir un nmero importante de investigaciones. Muchos de los que se iniciaron con financiamiento adecuado encuentran que sus presupuestos han sido recortados unos cuantos aos despus. La independencia tambin es un problema. En muchos pases, la agencia est bajo el control del brazo poltico del gobierno o es parte del Ministerio de Justicia y no tiene el poder o el deseo de fomentar la privacidad o de criticar propuestas invasivas de la privacidad. En Japn y en Tailandia, la agencia de supervisin est bajo el control de la Oficina del Primer Ministro. En Tailandia, el director fue transferido en 2000 despus de los conflictos con la Oficina del Primer Ministro. En 2001, Eslovenia enmend su Ley de Proteccin de Datos con objeto de establecer una autoridad supervisora independiente y de ese modo garantizar el cumplimiento de la Directiva de Proteccin de Datos. Esta fue anteriormente responsabilidad del Ministro de Justicia. Finalmente, en algunos pases que no cuentan con una oficina separada, el rol de investigacin y cumplimiento de las leyes se realiza por parte de un Defensor del Pueblo especializado en derechos humanos o por parte de un parlamentario oficial.
Flujos Transfronterizos de Datos y Parasos de Datos

La facilidad con la que se transmiten los datos electrnicos a travs de las fronteras genera la preocupacin de que las leyes de proteccin de datos puedan ser burladas a travs de la simple transferencia de informacin personal a terceros pases, donde las leyes de los pases de origen no se aplican. Estos datos podran ser entonces procesados sin limitaciones en esos pases, frecuentemente llamados "parasos de datos." Por esta razn, la mayora de las leyes de proteccin de datos incluyen restricciones para la transferencia de informacin a terceros pases a menos que la informacin sea protegida en el pas de destino. Por ejemplo, el Artculo 12 de la Convencin de 1981 del Consejo de Europa pone restricciones a la transmisin transfronteriza de datos personales.60 De manera similar, el Artculo 25 de la Directiva Europea impone la obligacin a los Estados Miembros a garantizar que toda informacin personal vinculada a ciudadanos europeos est protegida por ley cuando sea exportada, y procesada en pases fuera de Europa. Esta disposicin establece que: Los Estados Miembros deben estipular que la transferencia de datos personales a un tercer pas que los este procesando o tenga la intencin de procesarlos despus de transferidos, slo debe realizarse si el tercer pas en cuestin asegura un nivel adecuado de proteccin. Este requerimiento ha trado como consecuencia una creciente presin fuera de Europa para la aprobacin de enrgicas leyes de proteccin de datos. Aquellos pases que se

Consejo de Europa, Convencin para la Proteccin de Individuos con relacin al Procesamiento Automtico de Datos Personales 1981, disponible en <http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm>.
60
29
rehsan a adoptar significativas leyes de privacidad sern incapaces de conducir cierto tipo de transferencia de informacin con Europa, particularmente si sta involucra datos sensibles. La resolucin sobre el sistema de proteccin de la privacidad de un tercer pas es expedida por la Comisin Europea. El principio dominante en este proceso de determinacin es que el nivel de proteccin en el pas receptor debe ser "adecuado" en vez de "equivalente." Por tanto, se espera un alto nivel de proteccin de parte del tercer pas, aunque los dictados precisos de la Directiva no necesitan ser acatados. El 26 de julio de 2000, la Comisin Europea dictamin que Suiza y Hungra provean una "adecuada" proteccin a la informacin personal y por tanto todas las trasferencias de informacin personal a estos pases podra continuar.61 En enero de 2002, la Comisin Europea reconoci que la Ley Canadiense de Proteccin de Informacin Personal y Documentos Electrnicos (PIPEDA, en ingls), provee proteccin adecuada para determinadas transferencias de datos personales desde la Unin Europea a Canad. La decisin de la Comisin sobre lo adecuado de una legislacin no cubre los datos personales que poseen el sector federal o los organismos provinciales o la informacin en poder de organizaciones personales y utilizadas para propsitos no comerciales, tales como datos en manos de organizaciones de caridad o recolectadas en el contexto de una relacin laboral.62 En 2003, la Comisin dictamin que las leyes de proteccin de datos de la Argentina eran adecuadas, y lo mismo se dictamin para las leyes de Guernsey.63 En 2004, la Comisin estim adecuadas las leyes de proteccin de datos de la Isla de Man.64 La Comisin est actualmente examinando los esquemas de proteccin de la privacidad en muchos pases que no pertenecen a la Unin Europea, entre ellos Nueva Zelanda, Australia, y China (Hong Kong). Otra manera posible de proteger la privacidad de la informacin transferida a pases que no proveen una "adecuada proteccin" es el confiar en un contrato privado que contenga clusulas contractuales estndar de proteccin de datos. Este tipo de contratos obligara al procesador de datos a respetar las prcticas de informacin justas, tales como el derecho a ser avisado, al consentimiento, al acceso y a recursos legales. En el caso de transferencia de datos desde la Unin Europea, el contrato tendra que cumplir con la prueba estndar de "adecuacin", con el fin de satisfacer la Directiva de Proteccin de Datos.65 Diversos modelos de clusulas que podran ser incluidas en tales contratos fueron esbozados en un estudio conjunto del Consejo de Europa, la Comisin Europea y la Cmara Internacional de Comercio.66 En un informe de junio de 2000 (ver ms

Vea European Commission Press Release, "Data protection: commission adopts decisions recognizing adequacy of regimes in United States, Switzerland and Hungary," 27 de Julio de 2000. 62 Decisin de la Comisin del 20 de diciembre de 2001, Diario Oficial de las Comunidades Europeas L 2/13, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:002:0013:0016:ES:PDF>. 63 Decisin de la Comisin C(2003) 1731 del 30 de junio de 2003 - OJ L 168, 5.7.2003, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/decision-c2003-1731/decisionargentine_es.pdf>; Decisin de la Comisin del 21 de noviembre de 2003 relativa a la carcter adecuado de la proteccin de los datos personales en Guernsey - OJ L 308, 25.11.2003, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:308:0027:0028:ES:PDF>. 64 Decisin de la Comisin 2004/411/CE del 28 de abril de 2004 relativa al carcter adecuado de la proteccin de los datos personales en la Isla de Man pgina 48, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:151:0052:0055:ES:PDF>. 65 Vea European Union, DG Justice, "International transfers", disponible en http://ec.europa.eu/justice/data-protection/document/international-transfers/index_en.htm>. 66 Model contract to ensure equivalent protection in the context of transborder data flows with explanatory report (1992). Study made jointly by the Council of Europe, the Commission of the European Communities and International Chamber of Commerce (Estudio Conjunto del Consejo de Europa, de la Comisin de las Comunidades Europeas y de la Cmara Internacional de Comercio) (2 de noviembre de
61
30
abajo), el Parlamento Europeo acus a la Comisin Europea de una "seria omisin" al fracasar en elaborar un borrador de clusulas contractuales estndar que los ciudadanos europeos podran invocar en las cortes de terceros pases antes de que la Directiva de Datos entrara en vigor.67 El informe recomendaba que ste se hiciera antes del 30 de septiembre de 2000.68 En julio de 2001, la Comisin public una decisin final aprobando la norma de las clusulas contractuales.69 Durante el procesamiento del borrador, los Estados Unidos de Amrica criticaron los contratos estndar como "excesivamente gravosos" e "incompatibles con las operaciones en la realidad."70 La transferencia de registros de viaje, vinculados a ciudadanos europeos, al gobierno de los Estados Unidos de Amrica, gener preocupacin particular debido a que todava no ha habido una determinacin acerca de que los Estados Unidos de Amrica proporcionen un nivel adecuado de proteccin de datos. El Consejo Europeo recientemente adopt un acuerdo entre la Unin Europea y los Estados Unidos de Amrica en relacin a la transferencia de informacin de los registros de nombres de pasajeros de todos los viajeros de vuelos que tengan como origen la Unin Europea y que aterricen en los Estados Unidos de Amrica.71 El acuerdo ha sido recibido con duras crticas por parte del Parlamento Europeo.72
Acuerdo de Puerto Seguro entre la Unin Europea y los Estados Unidos de Amrica
Aunque la Comisin nunca emiti una opinin formal sobre lo adecuado de la proteccin de privacidad en los Estados Unidos de Amrica, hubo seras dudas sobre si

1992). Disponible en <http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/ModelContract_1992.pdf>. 67 Resolucin del Parlamento Europeo sobre el Borrador de la Decisin de la Comisin sobre la Adecuacin de la Proteccin Prevista por los Principios de Privacidad de Puerto Seguro y las Preguntas ms Comunes relacionadas, publicado por el Departamento de Comercio de los Estados Unidos, disponible en <http://epic.org/privacy/intl/EP_SH_resolution_0700.html>. 68 Para una gua general sobre el rol de los contratos revise el Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de la Unin Europea, "Transferencia de datos personales a terceros pases: Aplicacin de los Artculos 25 y 26 de la directiva sobre proteccin de datos de la Unin Europea," 24 de julio de 1998, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_es.pdf>. 69 La Comisin Aprueba la Norma de las Clusulas Contractuales para la Transferencia de Datos a Pases que no pertenezcan a al Unin Europea, Comunicado de Prensa del Directorio de Mercado Interno, 18 de julio de 2001, disponible en <http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses2.htm> [visitado en 2007]. 70 "Bush Administration Criticizes European Union Privacy Rules," EPIC Alert 8.06, 29 de marzo de 2001 <http://www.epic.org/alert/EPIC_Alert_8.06.html>. 71 Decisin 2007/551/PESC/JAI del Consejo de 23 de julio de 2007 relativa a la firma en nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados unidos (Acuerdo PNR 2007), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016:0017:ES:PDF>. Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR). Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>. Un acuerdo de 2004 sobre la misma materia fue declarado invlido por el Tribunal de Justicia Europeo en 2006. Vea Parlamento contra Consejo, C-317/04 and C-318/04, 72 Resolucin conjunta sobre el Acuerdo PNR con los Estados Unidos de Amrica. 10 de julio de 2007, disponible en <http://quintessenz.org/doqs/000100003894/2007_07_11_EUparl_PNR_joint%20resolution.pdf>.
31
el enfoque de privacidad sectorial y de autorregulacin de los Estados Unidos pasara los estndares sobre adecuacin fijada por la Directiva. La Unin Europea comision a dos eminentes profesores de leyes de los Estados Unidos, quienes escribieron un informe detallado sobre el estado de las protecciones de privacidad en los Estados Unidos de Amrica y sealaron los mltiples vacos en sus normas de proteccin.73 Los Estados Unidos de Amrica cabildearon intensamente en la sede de la Unin Europea y en sus pases miembros para que stos encontraran adecuado su sistema. En 1998, los Estados Unidos de Amrica empezaron a negociar un acuerdo de "Puerto Seguro" con la Unin Europea con el fin de garantizar la transmisin transfronteriza continua de datos personales. La idea del "Puerto Seguro" fue que las compaas de los Estados Unidos voluntariamente se podran autocertificar para adherirse a un conjunto de principios de privacidad elaborados por el Departamento de Comercio de los Estados Unidos y la Junta Directiva de Mercado Interno de la Comisin Europea. Estas compaas contaran entonces con una presuncin de adecuacin y podran continuar recibiendo datos personales desde la Unin Europea. Las negociaciones sobre la elaboracin de los principios de Puerto Seguro duraron cerca de dos aos y estuvieron sujetas a cidas crticas por parte de defensores de la privacidad y de los consumidores.74 A inicios de julio, el Parlamento Europeo aprob una enrgica resolucin en la que se sealaba que el acuerdo deba ser renegociado con el fin de proveer una adecuada proteccin.75 El 26 de julio de 2000, la Comisin aprob el acuerdo.76 Sin embargo, la Comisin, prometi reabrir las negociaciones sobre el acuerdo si los recursos disponibles para los ciudadanos europeos resultaban inadecuados. A los Estados Miembros de la Unin Europea se les dio 90 das para poner en vigor la decisin de la Comisin y las compaas de los Estados Unidos de Amrica empezaron a adherirse al Acuerdo de Puerto Seguro en noviembre de 2000. Existe un periodo de gracia indeterminado para las compaas signatarias de los Estados Unidos para implementar los principios. Los principios requieren a todas las organizaciones signatarias el proveer a las personas una notificacin "clara y inequvoca del tipo de informacin que recolectan, el propsito para el cual podra ser utilizado, y cualquier tercero a quien esta informacin podra ser revelada. Esta notificacin debe ser dada al momento de la recoleccin de cualquier informacin personal o "posteriormente tan pronto como sea posible." Las personas deben tener la posibilidad de escoger (excluirse) en la recoleccin de datos cuando la informacin vaya a ser revelada a un tercero o utilizada para un propsito incompatible. En el caso de informacin sensible, los individuos deben necesariamente consentir (aceptar) expresamente la recoleccin. Las organizaciones que deseen transferir datos a terceros pueden hacerlo si el tercero se suscribe al acuerdo de Puerto Seguro o si este tercero firma un acuerdo para proteger los datos. Las organizaciones deben tomar precauciones razonables para proteger la seguridad de la informacin ante la prdida, mal uso y acceso no autorizado, revelacin, alteracin y destruccin. Las

Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law (Michie 1996). Vea p.ej., los Comentarios Pblicos Recibidos por del Departamento de Comercio de los Estado Unidos en Respuesta a los Documentos de Puerto Seguro 5 de abril de 2000. Disponible en <http://www.ita.doc.gov/td/ecom/Comments400/publiccomments0400.html>. 75 Resolucin del Parlamento Europeo, supra. 76 Decisin de la Comisin sobre la adecuacin de la proteccin conferida por los principios de puerto seguro. Principio de Privacidad y Preguntas Frecuentes relacionadas formuladas por el Departamento de Comercio de los Estados Unidos de Amrica, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
74 73
32
organizaciones deben proveer a las personas el acceso a cualquier informacin personal que estas tengan sobre ellas, con la opcin de corregir, enmendar, o borrar dicha informacin cuando esta sea inexacta. Este derecho slo se otorgar si la carga o el costo de proveer el acceso a la informacin no sean desproporcionados en relacin con los riesgos a la privacidad de la persona o cuando los derechos de otras personas distintas a este no sean violados. En trminos de cumplimiento, las organizaciones deben proporcionar necesariamente el acceso a mecanismos de remediacin independientes, accesibles y con costos razonables que puedan investigar quejas y disponer indemnizaciones de daos. Estos deben necesariamente proporcionar procedimientos de seguimiento del cumplimiento y deben necesariamente cumplir con las sanciones por no acatar los principios. Los defensores de la privacidad y los grupos de consumidores tanto en los Estados Unidos de Amrica como en Europa son muy crticos con la decisin de la Comisin Europea de aprobar el acuerdo, el cual afirman, no cumplir con brindar a los ciudadanos europeos la adecuada proteccin a sus datos personales.77 El acuerdo descansa en un sistema auto regulatorio por el cual las compaas simplemente prometen no violar sus prcticas de privacidad declaradas. Existe poca labor de verificacin de cumplimiento o de evaluacin sistemtica de su observancia. La categora de Puerto Seguro se otorga al momento de la autocertificacin. No existe ningn derecho individual al cual recurrir o derecho a compensacin en caso de violacin de la privacidad. Existe un periodo de gracia indeterminado para las compaas signatarias de los Estados Unidos de Amrica para implementar los principios. El acuerdo slo se aplicar para las compaas supervisadas por la Comisin Federal de Comercio y por el Departamento de Transportes (excluyendo a los sectores financieros y de telecomunicaciones) y existen excepciones especiales otorgadas para la informacin de registros pblicos protegida por la legislacin de la Unin Europea. En febrero de 2002, la Comisin Europea public un informe de la operacin en la prctica del Acuerdo de Puerto Seguro entre los Estados Unidos de Amrica y la Unin Europea.78 Este fue el primer informe para evaluar el xito del acuerdo. Este concluy que todos los elementos esenciales del acuerdo estaban en orden y que exista una estructura para que los individuos pudieran presentar sus quejas si sentan que sus derechos haban sido violados. Sin embargo, el informe encontr que no haba suficiente transparencia entre las organizaciones que se han adherido al Acuerdo de Puerto Seguro y que no todos los habilitados para la resolucin de controversias, a cargo de hacer cumplir el Acuerdo de Puerto Seguro, cumplen en realidad con los principios de privacidad establecidos en el mismo acuerdo. Se esperaba que la Comisin publique una evaluacin completa del acuerdo en el 2003, pero el informe todava no ha sido publicado. En julio de 2002, el Grupo de Trabajo del Artculo 29 sobre Proteccin de Datos public un documento de trabajo sobre el funcionamiento del acuerdo. En este, el

Vea, p.ej. la antigua "TACD Statement on U.S. Department of Commerce Draft International Safe Harbor Privacy Principles and FAQs" (Doc Ecom-20-00), 30 de marzo de 2000. Disponible en <http://web.archive.org/web/20010208134255/http://www.tacd.org/ecommercef.html>. 78 Documento de trabajo de los servicios de la Comisin sobre la aplicacin de la Decisin N 520/2000/CE de la Comisin, de 26 de julio de 2000, con arreglo a la Directiva 95/46 del Parlamento Europeo y del Consejo, sobre la adecuacin de la proteccin conferida por los principios de puerto seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Amrica (Febrero de 2002). Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_es.pdf>.
77
33
Grupo de Trabajo expres su intencin de estudiar el acuerdo en mayor detalle con particular nfasis en los "posibles vacos entre los principiosy las prcticas de implementacin" y tambin "los requerimientos de transparencia a ser cumplidos por las organizaciones." El Grupo de Trabajo hizo un llamado a todas las autoridades, organizaciones y compaas interesadas a mejorar el cumplimiento y el conocimiento del Acuerdo.79 En junio de 2006, la Comisin inici una investigacin sobre la transferencia de datos financieros personales desde el consorcio bancario SWIFT con sede en Bruselas. Ante la solicitud del Departamento del Tesoro de los Estados Unidos de Amrica, SWIFT transmiti sistemticamente informacin sobre transacciones financieras de millones de clientes de bancos europeos.80 Al parecer el Departamento del Tesoro de los Estados Unidos de Amrica diriga peridicamente rdenes judiciales a SWIFT en los Estados Unidos de Amrica. La Comisin expres su sorpresa acerca de la exportacin de informacin de ciudadanos belgas a los Estados Unidos de Amrica y su revelacin a las autoridades de ese pas cada vez que una persona realizaba una transaccin de pago internacional.81 La Comisin afirm que estas prcticas violaban normas fundamentales de la legislacin de proteccin de datos belga y europea. Esta opinin posteriormente fue confirmada por una opinin del Grupo de Trabajo del Artculo 29.82 La Comisin recibi una carta del Primer Ministro de Blgica solicitando consejo sobre un posible acuerdo con los Estados Unidos de Amrica sobre la transferencia de datos SWIFT al Departamento del Tesoro de los Estados Unidos de Amrica. En su segunda opinin la Comisin le record al gobierno belga los principios fundamentales con relacin a las transferencias de datos personales entre Europa y los Estados Unidos de Amrica y le sugiri una serie de posibles acciones.83 En junio de 2007, el Consejo de Europa y los Estados Unidos de Amrica alcanzaron un acuerdo sobre la transferencia de informacin financiera personal desde la sede del SWIFT hacia los Estados Unidos de Amrica.84 La SWIFT se uni al Acuerdo de Puerto Seguro.85

Proyecto de documento de trabajo sobre funcionamiento del acuerdo de puerto seguro, Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, 11194/02/Es, 2 de julio de 2002.Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_es.pdf>. 80 <http://www.swift.com/home/index.page?lang=es>. 81 Decisin Nr. 37/2006, disponible en <http://www.privacycommission.be/fr/docs/Commission/2006/avis_37_2006.pdf> (en francs). 82 Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial Telecommunication SWIFT), 22 de noviembre de 2006. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>. 83 Opinin N 47/2006 del 20 de diciembre de 2006, disponible en <http://www.privacycommission.be/fr/docs/Commission/2006/avis_47_2006.pdf> (en francs). 84 Tratamiento y proteccin de datos personales exigidos por el Departamento del Tesoro dela sede de operaciones en Estados Unidos de Amrica de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) 28 de junio de 2007, disponible en <http://epic.org/privacy/pdf/swiftagmt-2007.pdf>. 85 SWIFT finaliza mejoras de transparencia y consigue adscribirse a Safe Harbor, 20 de Julio de 2007, disponible en <http://www.swift.com/about_swift/legal/compliance/statements_on_compliance/swift_completes_transp arency_improvements_and_files_for_safe_harbor/index.page?lang=es>.
79
34
B. Temas sobre Privacidad

(Extracto de: Privacidad y Derechos Humanos 2006 )

Sistemas de Identificacin y Cdulas de Identidad

Las cdulas de identidad son utilizadas de una forma u otra virtualmente en todos los pases del mundo. El tipo de cdula, sus funciones y su integridad varan enormemente. Mientras que en muchos pases, se cuenta con cdulas de identidad oficiales, obligatorias y nacionales, que son utilizadas para una variedad de propsitos, muchos pases no cuentan con ellas. Entre estos ltimos se encuentran Australia, Canad, Mxico, Nueva Zelanda y los Estados Unidos de Amrica. Entre los pases que cuentan con dicho documento tenemos a Argentina, Blgica, Egipto, Francia, Alemania, Grecia, China (Hong Kong), Malasia86. A escala nacional los sistemas de identificacin se establecen por diversas razones. La raza, la poltica y la religin a menudo conducen a la utilizacin de cdulas de identidad.87 El miedo a la insurgencia, a las diferencias religiosas, a la inmigracin, o al extremismo poltico han sido todos motivadores comunes del establecimiento de sistemas de identificacin que buscan forzar a los indeseables en un Estado a registrarse con el gobierno, o hacerlos vulnerables al aire libre sin los documentos pertinentes. En los ltimos aos la tecnologa ha evolucionado rpidamente permitiendo la creacin de archivos electrnicos y la construccin de grandes bases de datos comerciales y estatales. Un identificador nacional contenido en una cdula de identidad permite capturar informacin sobre una persona, que se halla en diferentes bases de datos, con el fin de que ellas puedan ser fcilmente enlazadas y analizadas a travs de tcnicas de anlisis de datos. Las cdulas de identidad tambin se estn volviendo "ms inteligentes" la tecnologa para construir microprocesadores del tamao de un sello postal y de ponerlas en cdulas del tamao adecuado para ser guardadas en una billetera se ha vuelto ms accesible. Esta tecnologa permite aplicaciones mltiples en tarjetas de

Julia Scheeres, "ID Cards Are de Rigueur Worldwide," Wired News, 25 de Septiembre 2001. Disponible en <http://www.wired.com/politics/law/news/2001/09/47073>; Sun Microsystems, Nota de Prensa, "Belgium E-Government Initiative Starts 1st Phase of Deployment of Sun's Java-Technology Enabled Smart Cards," 10 de abril de 2003, disponible en <http://www.thefreelibrary.com/Belgium+EGovernment+Initiative+Starts+1st+Phase+of+Deployment+of...-a0131728933>; Raja M, "Smart Cards Make Inroads into Asia," Asia Times, 2 de octubre de 2004, disponible en <http://www.atimes.com/atimes/South_Asia/FJ02Df03.html>. 87 Richard Sobel, The Degradation of Political Identity Under a National Identification System, 8 Boston University Journal of Science & Technology Law, 37, 48 (2002), disponible en <http://www.bu.edu/law/central/jd/organizations/journals/scitech/volume81/sobel.pdf>. Vea tambin National Research Council, "IDs - Not that Easy: Questions about Nationwide Identity Systems," 2002, disponible en <http://www.nap.edu/catalog.php?record_id=10346#toc>.
86
35
crdito, carns de biblioteca, carns de servicio de salud, permisos de conducir e informacin del programa de beneficios del gobierno que podran ser todas ellas almacenadas en una misma cdula de identidad conjuntamente con una clave de acceso o un identificador biomtrico. Los gobiernos de Finlandia, Malasia y Singapur ya han experimentado con tales carns de identidad "inteligentes". Las propuestas para establecer una cdula de identidad nacional han generado siempre protestas en muchos pases. El Gobierno Laborista en el Reino Unido intent establecer una nueva cdula de identidad con un registro centralizado de informacin biomtrica. Despus de ms de 7 aos de debate y de una nueva ley promulgada, la cdula y el registro nacional fueron desmantelados y destruidos por el nuevo gobierno en el 2010. Las protestas masivas contra la Cdula Australiana en 1987 casi condujeron al colapso del gobierno.88 Australia est debatiendo actualmente legislacin para implementar la Cdula de Acceso, la cual se supone reemplazara a 17 distintas cdulas de identidad utilizadas para diversos beneficios gubernamentales, entre ellos los de discapacidad, desempleo, cuidados mdicos y de veteranos; pero los crticos la llaman cdula de identidad nacional.89 Los grupos tales como la Australian Privacy Foundation y Electronic Frontiers Australia estn luchando contra la implementacin de la Cdula de Acceso.90 Australia tambin est compilando una base de datos masiva, la cual incluye datos biomtricos, vinculados a documentos de identidad y documentos para no ciudadanos.91 En varios pases, estos sistemas han sido impugnados con xito sobre bases constitucionales de privacidad. En 1998, la Corte Suprema de Filipinas dispuso que un sistema nacional de cdulas de identidad, transgreda el derecho constitucional a la privacidad.92 En 1991, el Tribunal Constitucional de Hungra dictamin que una ley que crea un nmero de identificacin personal multiusos viola el derecho constitucional a la privacidad.93 La Constitucin Portuguesa de 1997 dispone que "la asignacin de un nico nmero nacional a cualquier ciudadano debe estar prohibida".94 En otros pases, la oposicin a las cdulas de identidad combinada con el alto costo econmico y otras dificultades logsticas de implementacin de los sistemas ha derivado en su retiro. Los proyectos de cdulas de identidad en Corea del Sur y en Taiwn tambin fueron detenidos despus de protestas generalizadas. En los Estado Unidos de

Graham Greenleaf, "The Australia Card: Towards a National Surveillance System," Law Society Journal of New South Wales, Volumen 25, Numero 9 (Octubre de 1987), disponible en <http://www2.austlii.edu.au/itlaw/articles/GGozcard.html>. 89 Australian Government's Access Card website, disponible en www.accesscard.gov.au> [visitado en 2007]; Sandra Rossi, "Future Uncertain for Australia's Smartcard," Computerworld Australia, 27 de marzo de 2007. Disponible en <http://www.itworldcanada.com/news/future-uncertain-for-australiassmartcard/00468>. 90 Australian Privacy Foundation http://www.privacy.org.au/Campaigns/ID_cards/HSAC.html; Electronic Frontiers Australia <http://www.efa.org.au/Issues/Privacy/accesscard.html>. 91 Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de Julio de 2007. Disponible en <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>. 92 Ople contra Torres, G.R. 127685, 23 de Julio de 1998, disponible en <http://www.lawphil.net/judjuris/juri1998/jul1998/gr_127685_1998.html> (sentencia de la Corte Suprema de Filipinas sobre el Sistema de Identificacin Nacional). 93 "Constitutional Court Decision No. 15-AB of 13 April 1991," disponible en <https://www.privacyinternational.org/article/hungarian-constitutional-court-decides-identity-numbers>. 94 Articulo 35 (5), Constitucin de la Repblica Portuguesa 7ma. Revisin constitucional aporbada en el 2005. Disponible en ingls en <http://app.parlamento.pt/site_antigo/ingles/cons_leg/Constitution_VII_revisao_definitive.pdf>.
88
36
Amrica los planes de convertir la licencia de conducir estatal en un sistema nacional de identificacin se han estancado debido a la frrea resistencia de una amplia coalicin de grupos de la sociedad civil.95 Aunque la Ley de Identificacin Real (REAL ID Act) fue probada en los Estados Unidos de Amrica en Mayo de 2005,96 los estados y las organizaciones pblicas se han revelado frente al plan.97 16 Estados han aprobado normativa que rechaza la Identificacin Real y tambin existen proyectos de ley en ambas cmaras legislativas de los Estados Unidos de Amrica que repeleran la Ley que crea el sistema nacional de identificacin.98 En este momento, parece improbable que la Identificacin Real sea implementada en este pas.
Biomtrica
La biomtrica es la identificacin o verificacin de la identidad de una persona con base en caractersticas fisiolgicas o de comportamiento.99 Esta informacin es utilizada para autenticar o verificar que una persona es la que dice ser (una coincidencia de uno a uno) por comparacin de las caractersticas previamente almacenadas con las nuevas caractersticas proporcionadas. Tambin puede utilizarse para propsitos de identificacin cuando las caractersticas nuevas se comparan con todas las caractersticas almacenadas (una coincidencia de uno a varios). La nueva tecnologa biomtrica intenta automatizar el proceso de identificacin o de verificacin convirtiendo a la caracterstica biomtrica en un algoritmo, la cual se utilizara entonces para propsitos de emparejamiento. Las tcnicas de emparejamiento o coincidencia computarizadas producen necesariamente falsos positivos, cuando una persona es identificada incorrectamente como alguien ms, o se dan falsos negativos, cuando una persona que se supone debe ser identificada por el sistema, no es correctamente identificada. Los dos rangos de errores son dependientes, por ejemplo la reduccin de los falsos positivos incrementar el nmero de falsos negativos. El nivel de tolerancia se ajusta dependiendo de la necesidad de seguridad de la aplicacin. Las ms populares formas de identificacin biomtrica son las huellas dactilares, o el escaneado de la retina/iris, la geometra de la mano, el reconocimiento de voz, y la digitalizacin (almacenamiento electrnico) de imgenes. La tecnologa est ganando inters por parte de los gobiernos y de las compaas debido a que, a diferencia de otras formas de identificacin tales como los carns o los documentos, sera ms difcil de alterar o falsificar con nuestros propios rasgos fsicos y de comportamiento. Sin embargo, importantes dudas quedan, sobre la efectividad de las tcnicas de emparejamiento biomtrico automtico, particularmente para aplicaciones a gran

Vea en general la pgina web de EPIC National ID Cards and REAL ID Act. Disponible en <http://epic.org/privacy/id_cards/>. 96 Ley de Identificacin Real (REAL ID Act), Public Law Nmero 109-13, 119 Stat. 231 (2005), disponible en <http://epic.org/privacy/id_cards/real_id_act.pdf>. 97 Sitio web de la Campaa Deten la IDentificacin Real (Stop REAL ID) <http://privacycoalition.org/stoprealid/>; EPIC y 24 Expertos en Privacidad y Tecnologa, Comentan sobre los Proyectos de Regulacin de la Identificacin Real, 8 de mayo de 2009, disponible en <http://epic.org/privacy/id_cards/epic_realid_comments.pdf>; American Civil Liberties Union <http://www.realnightmare.org/>. 98 Vea en general, la pgina web de EPIC sobre la Cdula Nacional de Identidad y la Ley de Identificacin Real (National ID Cards and REAL ID Act) en la seccin sobre Normatividad Estatal contra la Identificacin Real (State Anti-REAL ID Legislation) <http://epic.org/privacy/id_cards/#state>. 99 Vea en general la pgina web de EPIC sobre Identificadores Biomtricos (Biometric Identifiers) <http://epic.org/privacy/biometrics/>.
95
37
escala.100 Los crticos tambin alegan que una amplia utilizacin de la tecnologa de identificacin biomtrica puede remover el velo del anonimato o del seudo anonimato en la mayora de las transacciones diarias a travs de la creacin de un rastro electrnico de los movimientos de las personas y de sus hbitos.101 Planes biomtricos estn siendo implementados alrededor del mundo. La tecnologa es ampliamente usada en pequeos entornos para el control del acceso a lugares seguros tales como instalaciones nucleares o bvedas de bancos. Esta tambin est siendo utilizada cada vez ms para aplicaciones ms amplias tales como puntos de venta minoristas agencias del gobierno, centros de cuidado infantil, las fuerzas policiales y cajeros automticos. Varios pases han creado pasaportes biomtricos que tambin permiten el uso de la tecnologa de Identificacin por Radiofrecuencia (RFID). Espaa ha iniciado un programa nacional de toma de huellas dactilares para otorgar beneficios a los desempleados y derechos en centros de atencin mdica. Rusia ha anunciado planes para un sistema nacional electrnico de toma de huellas digitales para bancos. A los jamaiquinos se les solicita el someterse a la exploracin de sus huellas digitales en una base de datos antes de calificar para votar en las elecciones. En Francia y Alemania, se estn realizando pruebas con equipos que ponen la informacin de las huellas digitales en las tarjetas de crdito. Muchos fabricantes de computadoras estn considerando incluir lectores biomtricos en sus sistemas para propsitos de seguridad. Las autoridades y los defensores vinculados a la privacidad objetan cada vez ms el libre uso de la biomtrica para fines de identificacin. En marzo de 2006, el Supervisor Europeo de Proteccin de Datos Peter Hustinx critic el incremento en el uso de identificadores biomtricos y de bases de datos por parte de los gobiernos.102 Afirm que los identificadores de huellas dactilares y ADN son demasiado inexactos. Asimismo, hizo un llamado para una ms enrgica legislacin sobre proteccin de datos para estas grandes bases de datos. EPIC reiter estos riesgos, en sus comentarios a la Comisin Federal de Comercio durante una consulta en el 2007 sobre las Nuevas Direcciones de la Autenticacin de Identidad, recomendando a la Comisin la revisin de posibles soluciones o de medidas para mitigar estos problemas.103 La Comisionada de Informacin y Privacidad de Ontario, Dr. Ann Cavoukian, sugiri que los biomtricos pueden ser desplegados de manera que incremente la privacidad que minimice el potencial de vigilancia y abuso, maximice el control personal, y garantice plena funcionalidad de los sistemas en los cuales se estn utilizados datos biomtricos.104

Deutsche Bank Research, "Biometrics Hype and Reality," 22 de mayo de 2002, disponible en <http://www.dbresearch.com/PROD/999/PROD0000000000043270.pdf>. 101 Roger Clarke, "Biometrics and Privacy," 15 de abril de 2001, disponible en <http://www.rogerclarke.com/DV/Biometrics.html>. 102 Peter Hustinx, Supervisor Europeo de Proteccin de Datos, "Comments on the Communication of the Commission on Interoperability of European Databases" 10 de marzo de 2006, disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2006/06-03-10_Interoperability_EN.pdf>; Jo Best, Biometrics Unreliable, Says EU Privacy Head," CNET News.com, 15 de marzo de 2006 <http://news.cnet.com/2100-1029_3-6050024.html>. 103 Comisin Federal de Comercio de los Estados Unidos de Amrica, "Proof Positive: New Directions for ID Authentication," 23-24 de abril de 2007 <http://www.ftc.gov/bcp/workshops/proofpositive/index.shtml>; EPIC, Comentarios a la Comisin Federal de Comercio, 23de marzo de 2007, disponible en <http://epic.org/privacy/id_cards/epic_ftc_032307.pdf>. 104 Ann Cavoukian & Alex Stoianov, "Biometric Encryption: A Positive Sum Technology that Achieves Strong Authentication, Security AND Privacy," Comisionado de Informacin y Privacidad de Ontario, 14
100
38
Los problemas de privacidad tambin surgen con el uso de sistemas biomtricos durante tiempos de guerra. En julio de 2007, informes de prensa revelaron que las tropas de los Estados Unidos de Amrica estaban utilizando escneres mviles para obtener huellas dactilares, escaneados de ojos y otros datos personales de cientos de miles de iraques. Aunque el General David Petraeus, comandante de la Fuerza Multinacional en Iraq, afirm que el propsito era el de identificar insurgentes, las tropas de los Estados Unidos de Amrica estn interceptando a iraques en sus casas, puntos de control, centros laborales, y "en varios barrios dentro y alrededor de Bagdad, las tropas han ido de casa en casa recogiendo datos."105 En julio de 2007 en una carta al Secretario de Defensa Robert Gates, EPIC, Privacy International, y Human Rights Watch le hicieron saber que un nuevo sistema de identificacin biomtrica contraviene las normas internacionales de privacidad y podran conducir a futuras represalias y matanzas.106 Los grupos citaron el riesgo particular de exigencias de identificacin en regiones del mundo afectadas por divisiones tnicas o religiosas.107 Un ao antes, en julio de 2006, milicianos chiitas establecieron un punto de control falso y mataron hasta 50 sunitas despus de examinar sus documentos de identificacin. Los grupos tambin se refirieron a un informe del Consejo Cientfico de la Defensa del Pentgono de marzo de 2007 que afirmaba que el uso militar de datos biomtricos generaba preocupaciones sustanciales sobre la privacidad.108 El informe categoriz como particularmente invasivos los sistemas obligatorios en los cuales los registros incluyen datos fisiolgicos de ciudadanos y empleados, y que son recolectados por parte de una institucin del sector pblico, y son mantenidos en bases de datos por un periodo indeterminado. Sin embargo, esta es precisamente la clase de sistema de identificacin que actualmente opera en Iraq. En su informe de enero de 2007 el Consejo de Derechos Humanos, el Relator Especial de las Naciones Unidas advirti que una amplia creacin de perfiles antiterrorista, particularmente aquellos que incluyen datos sobre origen tnico, son susceptibles de abuso y violan las normas de no discriminacin y varios otros derechos humanos.109 La forma ms controversial biomtrica la identificacin del ADN se est beneficiando de la nueva tecnologa de exploracin que puede automticamente emparejar en minutos una muestra de ADN con las existentes en una gran base de datos.

de marzo de 2007, disponible en <http://www.ipc.on.ca/english/Resources/Discussion-Papers/DiscussionPapers-Summary/?id=608>. 105 Thomas Frank, "U.S. is Building Database on Iraqis," USA Today, 12 de Julio de 2007, pgina A1, disponible en <http://www.usatoday.com/news/world/iraq/2007-07-12-iraq-database_N.htm>. 106 Carta de EPIC, Human Rights Watch y Privacy International al Secretario de Defensa de los Estados Unidos de Amrica Robert Gates, 27 de julio de 2007, disponible en <http://epic.org/privacy/biometrics/epic_iraq_dtbs.pdf>. 107 Hussein Kadhim & Jenan Hussein, "Iraqis' Phony IDs Mask Links to Shiites, Sunni. McClatchy Newspapers, 24 de junio de 2007, disponible en <http://nl.newsbank.com/nlsearch/we/Archives?p_product=ST&p_theme=st&p_action=search&p_maxdocs=200&s_dispstring=Iraqi s%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%20AND%20date%28all%29&p_field_ad vanced-0=&p_text_advanced0=%28Iraqis%27%20Phony%20IDs%20Mask%20Links%20to%20Shiites%29&xcal_numdocs=20&p_p erpage=10&p_sort=YMD_date:D&xcal_useweights=no>. 108 Grupo de Trabajo del Consejo Cientfico de la Defensa de los Estados Unidos de Amrica, "Report on Defense Biometrics," marzo de 2007, disponible en <http://epic.org/privacy/biometrics/defscibd_0307.pdf>. 109 Martin Scheinin, Relator Especial de las Naciones Unidas sobre la Promocin y Proteccin de los Derechos Humanos y de las Libertades Fundamentales en la lucha contra el Terrorismo, "Informe al Consejo de Derechos Humanos de las Naciones Unidas," enero de 2007, disponible en <http://daccessdds-ny.un.org/doc/UNDOC/GEN/G07/105/10/PDF/G0710510.pdf?OpenElement>.
39
Las fuerzas policiales en muchos pases entre ellos Canad, Alemania, y los Estados Unidos han creado bases de datos nacionales de ADN. Las muestras son tomadas regularmente de un gran grupo de personas. Inicialmente, estos fueron individuos convictos por crmenes sexuales. Luego estas fueron ampliadas a personas convictas por otros crmenes violentos y luego a los detenidos. Ahora, muchas jurisdicciones estn recolectando muestras de todos los individuos arrestados, an por las infracciones menos significativas. El ex alcalde de Nueva York, Rudolf Giuliani, incluso propuso que fuera colectado el ADN de todos los nios al momento del nacimiento. En Australia, el Reino Unido y los Estados Unidos, la polica ha estado pidiendo que todos los individuos en un rea en particular voluntariamente proporcionen muestras o afronten el ser considerados sospechosos. El Fiscal General de los Estado Unidos Ashcroft ha testificado que ha solicitado al FBI el incremento de la capacidad de su base de datos de 1.5 millones a 50 millones de perfiles.110 Al mismo tiempo, los datos de ADN han sido utilizados como evidencia exculpatoria en muchos juicios penales. Ms de 200 personas condenadas a la pena capital en los Estados Unidos de Amrica han sido exoneradas como resultado de pruebas de ADN.111 Preguntas claves de poltica sobre el sistema de justicia penal se vinculan a la disponibilidad de fondos para permitir probar la inocencia.
Pasaportes Biomtricos
El Acta Patritica Estadounidense aprobada por el Congreso de los Estados Unidos de Amrica, despus de los eventos del 11 de septiembre de 2001, incluy el requerimiento de que el Presidente certificara un estndar de tecnologa biomtrica para su uso en la identificacin de extranjeros que busquen ser admitidos en los Estados Unidos de Amrica, dentro de dos aos. El calendario para su implementacin fue acelerado por otra norma, la poco conocida Ley de Reforma de Mejora de la Seguridad de las Fronteras 2002. Parte de esta segunda ley incluye la bsqueda de la cooperacin internacional con este estndar. El incentivo para la cooperacin internacional fue claro: "Para el 26 de octubre de 2004, para que un pas se considere elegible para la participacin en el programa de exencin de visado, su gobierno debe certificar que tiene un programa para expedir para sus ciudadanos, pasaportes capaces de ser ledos por mquinas, que estos sean resistentes a alteraciones y que incorporen identificadores biomtricos y de autenticacin que satisfagan los estndares de la Organizacin de la Aviacin Civil Internacional (OACI)." Estas leyes le dieron velocidad a los estndares que se estaban considerando en la OACI para los pases solicitantes de la exencin de visado (entre ellos muchos pases de la UE, Australia, Brunei, Islandia, Japn, Mnaco, Nueva Zelanda, Noruega, Singapur, y Eslovenia) para implementar un sistema biomtrico en sus Documentos de Viaje capaces de ser Ledos por Maquinas (MRTDs), es decir, los pasaportes. La falta de ello, presumiblemente, significara la remocin del programa. El desplazar la decisin a la OACI empuj a la poltica mucho ms all de los pases del Programa de Exencin de Visa, La OACI ya fija las normas internacionales para pasaportes y la OACI ha estado investigando los pasaportes biomtricos desde 1995. Desde entonces las tecnologas han cambiado lo suficiente como para permitir que el

Transcripcin del Fiscal General, Conferencia de Prensa Iniciativas ADN, 4 de marzo de 2002, Centro de Conferencias DOJ. 111 The Innocence Project (Proyecto Inocente) disponible en <http://www.innocenceproject.org/>.
110
40
reconocimiento facial, las huellas dactilares y el escaneado de iris sean considerados para su implementacin en pasaportes estndar. Los propsitos principales del uso de sistemas biomtricos, de acuerdo a la OACI, son los de permitir la verificacin ("confirmacin de la identidad por comparacin de detalles de identidad de las personas alegando ser un individuo especifico comparado con detalles previamente archivados sobre dicho individuo"112) y la identificacin ("la determinacin de la posible identidad por comparacin de los detalles de identidad de la persona que se presenta comparados con los detalles previamente archivados de cierto nmero de individuos"113). Los efectos benficos colaterales abarcan la informacin avanzada de los pasajeros a los puertos de entrada, y el rastreo electrnico del uso del pasaporte. En mayo de 2003, el reconocimiento facial emergi como el candidato principal. Problemas de Propiedad Intelectual impidieron que el escaneado del iris fuera aceptado; al tiempo que se crea que el reconocimiento facial era ms socialmente aceptado. Las mltiples aplicaciones de la biomtrica eran tambin consideradas, y permitidas. Aunque el uso de una sola tecnologa biomtrica por todos los Estados era preferible para la OACI para asegurar la interoperabilidad, "sin embargo, tambin se reconoce que algunos Estados pueden concluir que es deseable el utilizar dos sistemas biomtricos en el mismo documento."114 La Unin Europea (UE) ya est discutiendo el solicitar las huellas dactilares en los pasaportes. La OACI es consciente. Sin embargo, reconoce que existen temas contenciosos legales involucrados con la infraestructura para estos pasaportes, incluyendo la colisin entre los objetivos de un sistema biomtrico centralizado de ciudadanos y la proteccin de las leyes de privacidad, y con las "prcticas culturales." No slo esto involucra un almacn central de datos de huellas digitales y fotos (y de escneres de rostros) que pueden ser exploradas para compararlas con otra base de datos para propsitos distintos, sino que esta informacin sensible puede ser transferida a otros pases cuando se requiera verificacin en los controles de frontera. La OACI prev que esta informacin puede ser retenida por estos otros pases. En esencia, esto podra transformarse en una base de datos de informacin personal distribuida a nivel mundial. Algo que puede ser importante recordar al momento de la implementacin nacional es que, se permite cierta flexibilidad por parte de la OACI. Algunos estados pueden interpretar los estndares de la OACI para requerir bases de datos centralizadas.115 La OACI hace hincapi en una base de datos central que permita una confirmacin adicional de seguridad, pero no va tan lejos como para requerir tales sistemas. Puede ser interesante ver si los gobiernos nacionales retirarn esta opcin, o si ellos ms bien cambiarn sus leyes nacionales para permitir un almacenamiento centralizado, como se permite en otros documentos de la OACI. La UE ya est avanzando hacia un registro

Vease ICAO - Biometrics Deployment of Machine Readable Travel Documents ICAO TAG MRTD/NTWG Technical Report: Development and Specification of Globally Interoperable Biometric Standards for Machine Assisted Identity Confirmation using Machine Readable Travel Documents, Montreal: ICAO, 12 mayo 2003. 113 Ibid. 114 Ibid. 115 Vea en general OACI. Biomtrica Utilizacin de Documentos de Viaje capaces de ser Ledos por Mquinas ICAO TAG MRTD/NTWG Informe Tcnico: Desarrollo y Especificacin de Estndares Biomtricos Mundialmente Interoperativos para la Confirmacin de la Identidad Asistida por Mquina utilizando Documentos de Viaje capaces de ser Ledos por Mquinas, Montreal: OACI, 12 de mayo de 2003.
112
41
centralizado de los sistemas biomtricos utilizados en el proceso de inscripcin para pasaportes.
Huellas Dactilares
Las huellas dactilares son los identificadores biomtricos ms utilizados a nivel mundial. Los fabricantes de aparatos electrnicos han empezado a aadir escneres de huellas dactilares a las computadoras, discos duros, memorias USB, y otros, como un dispositivo de seguridad.116 En el otoo de 2006, Suecia prob un sistema que emparejaba a los viajeros areos con su equipaje a travs del uso de huellas dactilares.117 En enero de 2005, las propiedades de Walt Disney World empezaron a utilizar escneres de huellas dactilares como medio de rastrear a los clientes que ingresaban a sus parques temticos.118 Las huellas dactilares estn siendo cada vez ms utilizadas en las cdulas de identificacin.119 La toma de huellas dactilares a nios en edad escolar ha proliferado en el Reino Unido en medio de mucho debate. El uso generalizado en el Reino Unido contrasta con aquel de China (Hong Kong) y del resto de China, que han prohibido la toma de huellas dactilares de nios en edad escolar.120 En julio de 2007, la Agencia Britnica de Comunicaciones y Tecnologa Educativa (BECTA) public guas para los colegios del Reino Unido, BECTA Guidance on the Use of Biometric Systems in Schools (Guas BECTA sobre el uso de Sistemas Biomtricos en Colegios).121 La BECTA explic que la obtencin de huellas dactilares de nios en edad escolar se halla dentro de los alcances de la Ley de Proteccin de Datos de 1998, y que se debe tener cuidado si tales datos son obtenidos, y los colegios tiene el deber de garantizar que todo los datos personales que tienen se mantengan seguros.122 Al mismo tiempo, la Oficina del Comisionado de la Informacin del Reino Unido tambin emiti una gua sobre recoleccin de datos biomtricos de nios en edad escolar, los cuales pueden tener hasta 5 aos. La Oficina estuvo de acuerdo en que dicha recoleccin estaba dentro de los alcances de la Ley de Proteccin de Datos de 1998 y les comunic a los colegios que estos deben explicar las razones para introducir el sistema, cmo se utiliza la informacin personal y cmo se mantiene segura.123 Debido a que algunos nios no

Agam Shah, "Keeping Data Secure with Biometrics," PC World, 22 de junio de 2007, disponible en <http://www.washingtonpost.com/wp-dyn/content/article/2007/06/22/AR2007062201584.html>. 117 "New Tricks with Biometrics," CNN, 28 de septiembre de 2006, disponible en <http://edition.cnn.com/2006/TRAVEL/09/27/biometrics.SAS/index.html>. 118 Vea en general la pgina web de EPIC sobre Theme Parks and Privacy (Parques Temticos y Privacidad). Disponible en <http://epic.org/privacy/themepark/>. 119 Vea en general, la pgina web de EPIC sobre la Cdula Nacional de Identidad y la Ley de Identificacin Real (National ID Cards and REAL ID Act) en <http://epic.org/privacy/id_cards/> y la pgina web de Privacy International sobre Cdula Nacional de Identidad (National ID Cards) en <https://www.privacyinternational.org/category/issues/national-id-cards-0?page=8>. 120 Mark Magnier, "Campaign of Shame Falls Flat in China," Los Angeles Times, 18 de diciembre de 2006; Mark Ballard, "Halt to School Fingerprinting," Register, 9 de noviembre de 2006 <http://www.theregister.co.uk/2006/11/09/hongkong_kiddyprinting/>. 121 British Educational Communications and Technology Agency, "BECTA Guidance on the Use of Biometric Systems in Schools," julio de 2007, disponible en <http://archive.teachfind.com/becta/schools.becta.org.uk/uploaddir/downloads/becta_guidance_on_biometric_technologies_in_schools.pdf>. 122 Id. pgina 8; Ley de Proteccin de Datos de 1998, disponible en <http://www.legislation.gov.uk/ukpga/1998/29/contents>. 123 Oficina del Comisionado de la Informacin del Reino Unido, "The Use of Biometrics in Schools," Julio de 2007, disponible en
116
42
estaran en la capacidad para entender las implicaciones de la toma de huellas dactilares, en dichos casos el colegio debe informarle plenamente y obtener el consentimiento de los padres; sino el colegio estara violando la Ley de Proteccin de Datos.124 No se sabe si los padres entienden plenamente que, cuando se investiga un delito, la polica del Reino Unido est permitida para acceder a las bases de datos biomtricos de los colegios sin la autorizacin paterna.125 Tradicionalmente, los datos biomtricos de huellas dactilares han sido utilizados en las investigaciones de las fuerzas del orden sobre delitos; utilizados en laboratorios y en tribunales para identificar delincuentes. Sin embargo, las fuerzas del orden han empezado a utilizar las bases de datos de huellas dactilares fuera de estos contextos. En Australia y en el Reino Unido, la polica ahora cuenta con escneres porttiles de huellas dactilares de modo que puedan identificar rpidamente a personas en la calle, tales como conductores a los que se les hace detener a un lado de la va por alguna infraccin de trnsito o a peatones sospechosos de delitos.126 La polica obtiene el permiso de los sospechosos, pero la voluntariedad de tal permiso es sospechosa, y luego busca coincidencias en una base de datos que contiene 6.5 millones de huellas dactilares. El dispositivo biomtrico porttil utilizado por la polica de Australia es fabricado por una compaa electrnica francesa llamada "Sagem" y puede almacenar hasta 100,000 huellas dactilares.127 Tambin ha habido una expansin del intercambio internacional de datos de huellas dactilares. Filipinas y los Estados Unidos de Amrica estn cooperando en una base de datos conjunta.128 En enero de 2007, los Ministros de Asuntos Internos de los signatarios del Tratado de Prm acordaron compartir el acceso a sus bases de datos de huellas dactilares y de vehculos motorizados.129 Austria, Blgica, Francia, Alemania, Luxemburgo, Pases Bajos, y Espaa firmaron el tratado en el 2005. Italia, Finlandia, Portugal, Rumania, Eslovenia, Suecia y Rumania tambin dieron a conocer formalmente su deseo de firmar.

<http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/fingerprinti ng_final_view.pdf>. 124 Id. 125 David Smith, Comisionado Adjunto, Oficina del Comisionado de la Informacin del Reino Unido, Testimonio en una Audiencia sobre la Sociedad Vigilante ante la Comisin de Asuntos Internos de la Casa de los Comunes, 1 de mayo de 2007 disponible en <http://www.publications.parliament.uk/pa/cm200607/cmselect/cmhaff/uc508-i/uc50802.htm>. 126 "Motorists to Give Fingerprints," BBC News, 22 de noviembre de 2006 <http://news.bbc.co.uk/2/hi/uk_news/6170070.stm>. 127 Michael Crawford, "Australian State Police Eye Fingerprint Biometrics," Computerworld Australia, 14 de octubre de 2005, disponible en <http://www.computerworld.com/s/article/105427/Australian_state_police_eye_fingerprint_biometrics?ta xonomyId=017>. 128 "Philippine, U.S. Police Cooperate in Fingerprint Database," People's Daily Online, 7 de junio de 2006 <http://english.peopledaily.com.cn/200606/07/eng20060607_271844.html>. 129 Ministro del Interior Federal Aleman, Nota de Prensa, "Informal Meeting of Ministers for Justice and Home Affairs: Home Affairs Ministers Back Initiative to Create a Pan-European Network of Police Databases for More Effective Crime Control," ("Reunin Informal de Minsitros de Justicia y del Interior: Los Ministros del Interior respaldan la iniciativa de crear una red pan-Europea de base de datos de la polica para un control ms eficaz del Crimen") 15 de enero de 2007,disponible en <http://www.eu2007.de/en/News/Press_Releases/January/0115JIRatPK1.html>; Carta de la Presidencia al Consejo de la Unin Europea, "Integration of the Prm Treaty into the Union Legal Order," ("Integracin del Tratado de Prm en el Orden Legal de la Unin") 9 de febrero de 2007, disponible en <http://www.statewatch.org/news/2007/feb/eu-prum-6220-07.pdf>.
43
En febrero de 2007, la Comisin Europea revel que uno de sus "acciones principales previstas para el 2008" era "la implementacin de una base de datos centralizada de huellas dactilares".130 La propuesta por una base de datos masiva de huellas dactilares de todos los 27 pases de la UE motiv acusaciones de "Gran Hermano Europa" ("Big Brother Europe"). La base de datos incluira las huellas dactilares de sospechosos y de personas liberadas sin cargos, as como de aquellos convictos por delitos.131 El costo y alcance de la base datos de huellas dactilares masiva a nivel de toda la UE est siendo evaluado, pero el objetivo era el de crear la base de datos a finales de 2008. Quedan an dudas sobre si los terceros pases, tales como los Estados Unidos de Amrica, tendran acceso a este repositorio centralizado de las huellas dactilares de los ciudadanos de la UE. En junio de 2007, el Supervisor Europeo de Proteccin de Datos Peter Hustinx envi una carta a los Ministros de Justicia y del Interior de Portugal criticando estas medidas recientes.132 (Portugal asumi la Presidencia del Consejo de la Unin Europea el 1 de julio de 2007.) El ofreci su asistencia, declarando que "Parece que el nmero de acuerdos sobre nuevas medidas antiterroristas ha sido concluido sin considerar plenamente el impacto de estas sobre los derechos fundamentales."133 El Supervisor Hustinx tambin afirm que, "Temo que mensajes como el de 'ningn derecho a la privacidad hasta que la vida y la seguridad estn garantizados' estn evolucionando en un mantra que sugiere que los derechos fundamentales y las libertades son un lujo que la seguridad no puede afrontar. Yo contradigo esa visin y hago hincapi que no hay duda en se pueden tomar medidas antiterroristas efectivas dentro de los lmites de la proteccin de datos."134 Los pases estn utilizando cada vez ms huellas dactilares para la seguridad de sus fronteras. Australia, Malasia, Singapur, los Estados Unidos de Amrica, el Reino Unido, entre otros, recolectan huellas dactilares en sus fronteras.135 El programa de seguridad de fronteras de los Estados Unidos de Amrica US-VISIT requiere a los

Comunicacin de la Comisin al Consejo, el Parlamento Europeo, la Comisin Europea Econmica y Social y la Comisin de las Regiones, "Estrategia de Poltica Anual para el 2008," pgina 12, 21 de febrero de 2007, disponible en <http://ec.europa.eu/atwork/synthesis/doc/aps_2008_en.pdf>. 131 David Charter, "Central Fingerprint Database Plan Draws Fire from All Over EU," Times Online, 16 de marzo de 2007 <http://www.openeurope.org.uk/media-centre/article.aspx?newsid=1813>. 132 Carta del Supervisor Europeo de Proteccin de Datos Peter Hustinx al Ministero de Justicia de Portugal Alberto Costa, "Presidency Work Programme and the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data," ("Programa de la Presidencia sobre Trabajo y Proteccin de Personas con Relacin al Tratamiento de Datos de Carcter Personal y del Libre Movimiento de tales Datos") 12 de junio de 2007, disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2007/07-06-11_Letters_portuguese_presidency_EN.pdf>. 133 Ibid. 134 Ibid. 135 Vivian Yeo, "Singapore Unveils Biometric Passport," CNet News.com, 31 de marzo de 2006 <http://news.cnet.com/2100-1029_3-6056746.html>; "Singapore Advocates Using Biometrics in Border Control," People's Daily Online, 26 de marzo de 2007 <http://english.people.com.cn/200703/26/eng20070326_361093.html>; Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de julio de 2007 <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>; UK Home Office, Press Release, "New Powers to Capture Foreign Nationals' Biometrics," 19 de diciembre de 2006, <http://www.itsecurity.com/press-releases/press-release-home-office-biometrics-121906/>; Dewan Rakyat, "Biometric Way to Monitor Foreign Workers," Star Online.com, 26 de junio de 2007. Disponible en <http://startechcentral.com/tech/story.asp?file=/2007/6/26/technology/20070626115333&sec=technology> [visitado en 2007].
130
44
extranjeros que ingresen o salgan del pas presentar informacin biogrfica detallada, las huellas dactilares de los 10 dedos, y una fotografa digital; este es uno de los ms grandes programas de recoleccin de datos biomtricos en el mundo.136 En diciembre de 2006, el Ministerio del Interior del Reino Unido anunci un plan para "[registrar] datos biomtricos de cada uno de los habitantes de las 169 nacionalidades existentes fuera de la [Zona Econmica Europea] que estn postulando a un trabajo, estudio o estada en el Reino Unido por ms de seis meses, y para las personas de las 108 nacionalidades que postulan para visitar el Reino Unido," a ser implementado en el 2008.137 El Reino Unido planea registrar las huellas dactilares y las imgenes faciales y tambin planea empezar a emitir documentos de identidad biomtricos para extranjeros en 2008.
Escaneo de Retina e Iris

Los escaneos de retina e iris son tecnologas diferentes, aunque a menudo se piensa que son las mismas. Con los escaneos de retina, un haz de luz infrarroja se refleja a travs de la pupila y la luz reflejada y el patrn de vasos sanguneos en el ojo es medido y capturado por una cmara.138 No existen dos patrones iguales, incluso entre el ojo derecho e izquierdo, o gemelos idnticos, y estos no cambian con la edad. Sin embargo, los crticos se han referido al proceso de captura de datos como invasivo y que la tecnologa es susceptible de causar enfermedades, tales como glaucoma o cataratas.139 Tambin, los crticos han sealado que los escaneos de retina contienen abundantes datos sobre la salud de la persona. "Muchos problemas de salud se reflejan en los ojos, creando un potencial para pruebas no invasivas para todo desde consumo de cocana hasta anemia de clulas falciformes. Enfermedades infecciosas tales como la malaria, SIDA, sfilis, la enfermedad de Lyme, y varicela todos reflejados en tus ojos. Curiosamente lo mismo ocurre con el embarazo."140 Con los escaneos de iris, una cmara de video se utiliza para tomar una foto del iris.141 Los inconvenientes son que el movimiento, los lentes y los lentes de contacto de colores pueden cambiar el patrn creado para una persona; los parpados y las pestaas oscurecen parte de la superficie del iris; y, debido a que el escaneo est sustentado en el tamao de la pupila, las drogas que dilatan el ojo podran anular un escaneo de iris. Los escaneos de iris se estn utilizando de manera creciente en los programas para viajeros. Los programas de viajeros frecuentes que involucran la recoleccin y uso de escaneos de iris incluyen: al Privium de Amsterdam,142 Viajero Registrado de los

Vea en general la pgina web de EPIC sobre el Programa US-VISIT <http://epic.org/privacy/usvisit/>. 137 UK Home Office, "Strategic Action Plan for the National Identity Scheme - Safeguarding Your Identity," 19 de diciembre de 2006, disponible en <http://webarchive.nationalarchives.gov.uk/+/http://www.homeoffice.gov.uk/documents/strategic-actionplan.pdf>; UK Home Office, Press Release, "New Powers to Capture Foreign Nationals' Biometrics," 19 de diciembre de 2006 <http://www.publicservice.co.uk/news_story.asp?id=2263>. 138 Vea en general la pgina web de EPIC sobre Identificadores Biomtricos <http://epic.org/privacy/biometrics/>. 139 "The Identity Project: An Assessment of the UK Identity Cards Bill & Its Implications," (London School of Economics & Political Science, 21 de marzo de 2005, disponible en <http://eprints.lse.ac.uk/684/>. 140 Courtney Ostaff, "Retinal Scans Do More Than Let You In the Door," Physorg.com, 31 de agosto de 2005 <http://www.physorg.com/news6134.html>. 141 Id. 142 "New Tricks with Biometrics," CNN, 28 de septiembre de 2006, disponible en <http://edition.cnn.com/2006/TRAVEL/09/27/biometrics.SAS/index.html>.
136
45
Estados Unidos de Amrica,143 miSenseplus del Reino Unido.144 Australia,145 Alemania,146 y el Reino Unido147 estn recolectando escaneos de iris de los visitantes y los Estados Unidos de Amrica est considerando aadir escaneos de iris a su programa de seguridad de fronteras US-VISIT.148 Los escaneos de iris tambin son utilizados en exceso en otros mbitos. Los colegios en los Estados Unidos de Amrica y en el Reino Unido estn recolectando escaneos de iris.149 A los mdicos en Australia del Sur se les puede pronto exigir enviar escaneos de iris y de huellas dactilares para acceder a los registros mdicos en los hospitales.150 Funcionarios de los Estados Unidos de Amrica han creado el Registro y Sistema de Identificacin de Delincuentes Sexuales (SORIS, en ingls), el cual almacena imgenes de los irises de los delincuentes sexuales.151
Geometra de Manos (Impresiones Palmares)

La biomtrica de la geometra de manos o de las impresiones palmares est aumentando de popularidad. "Las texturas de las lneas principales, arrugas y surcos de las impresiones palmares, contienen informacin diferenciadora que puede ser extrada para fines de verificacin."152 En Japn, las personas pueden retirar dinero de los Cajeros Automticos (ATM) utilizando escneres de impresiones palmares.153 Las bibliotecas japonesas utilizan escneres de impresiones palmares para consignar la salida de libros.154 En el 2006, la polica del Reino Unido cre una base de datos de

Vea en general EPIC, Spotlight on Surveillance, "Registered Traveler Card: A Privatized Passenger ID," octubre 2005 <http://epic.org/privacy/surveillance/spotlight/1005/>. 144 Dean Irvine, "Heathrow Tests Biometrics," CNN, 6 de diciembre de 2006 <http://edition.cnn.com/2006/TRAVEL/12/06/heathrow.fingerprints/index.html>. 145 Darren Pauli, "Aussies to Stockpile Kiwi Biometrics in Central Database," Computerworld, 25 de Julio de 2007 <http://computerworld.co.nz/news.nsf/news/4C244AE1ED29925CCC25731E000055D0>. 146 "Look Me in the Eye," Deutsche Welle, 13 de febrero de 2004 <http://www.dwworld.de/dw/article/0,,1113690,00.html>. 147 Jeremy Kirk, "Government Tests Biometrics at Border Control Points," IDG News Service, 3 de mayo de 2007 <http://www.computerworlduk.com/news/it-business/2864/government-tests-biometrics-atborder-control-points/>. 148 Michael Arnone, "US-VISIT Chief Wants Tougher Border Security," FCW.com, 18 de abril de 2006 <http://fcw.com/404.aspx?404;http://fcw.com/article94113-04-18-06-Web.aspx>; vea tambin la pgina web de EPIC sobre el Programa US-VISIT <http://epic.org/privacy/us-visit/> (documentos obtenidos por EPIC al amparo de la Ley de Libertad de Informacin muestran que el gobierno de los Estados unidos de Amrica est considerando los escaneos de iris, el reconocimiento de voz para la seguridad de fronteras). 149 Laura Clark, "Children as Young as Five To Be Fingerprinted in Schools," Daily Mail, 23 de Julio de 2007 <http://www.dailymail.co.uk/news/article-470344/Children-young-fingerprinted-schools.html>; "Eye Scan Technology Comes to Schools," ABC News, 25 de enero de <http://abcnews.go.com/GMA/story?id=1539275>; "Eye Scan To Order School Dinners," BBC News, July 8, 2003 <http://news.bbc.co.uk/2/hi/uk_news/england/wear/3056162.stm>. 150 Ben Woodhead, "Fingerprints and Iris Scans As Hospitals Tighten Security," Australian, 3 de Julio de 2007 <http://www.prisonplanet.com/articles/july2007/030707_b_Fingerprints.htm>. 151 Lynn Waddell & Arian Campo-Flores, "Iris Scans: Keeping an Eye on Sex Offenders," Newsweek, 24 de julio de 2006, disponible en <http://www.thedailybeast.com/newsweek/2006/07/23/iris-scans-keepingan-eye-on-sex-offenders.html>. 152 Michael KO Goh, Tee Connie, et al, Multimedia University, Malaysia. "A Fast Palm Print Verification System," International Conference on Computer Graphics, Imaging and Visualisation, 2006, disponible en <http://www.computer.org/portal/web/csdl/doi/10.1109/CGIV.2006.7>. 153 Kenji Hall, "Biometrics: Vein Scanners Show Promise," BusinessWeek.com, 6 de febrero de 2007 <http://www.businessweek.com/globalbiz/content/feb2007/gb20070206_099354.htm?chan=search>. 154 Martyn Williams, "Japanese Library to Use Palm-Vein for Book Check-Out," IDG News Service, 26 de diciembre de 2005, disponible en <http://www.infoworld.com/d/security-central/japanese-library-usepalm-vein-book-check-out-897>.
143
46
impresiones palmares.155 La polica canadiense tambin est buscando crear tal base de datos.156 En el Aeropuerto Ben Gurion, el nico aeropuerto internacional del pas, los viajeros pueden identificarse a s mismo por medio de sus impresiones palmares en ms de 20 mdulos.157
Reconocimiento de Voz
La tecnologa de reconocimiento de voz identifica a las personas a travs de sus distintos patrones vocales. Los cuatro millones de clientes del Dutch International Bank ABN Amro ahora pueden acceder a servicios automatizados de banca por telfono por medio del sistema biomtrico de verificacin de voz del banco.158 Las compaas de tarjetas de crdito estn evaluando utilizar la tecnologa de reconocimiento de voz para permitir realizar pagos a sus clientes.159 En febrero de 2007, la Corporacin Microsoft tuvo que arreglar un problema en su sistema operativo Vista porque las caractersticas de reconocimiento de voz podran ser utilizadas por otros para borrar archivos maliciosamente.160 La tecnologa tiene sus puntos dbiles. EPIC asevera que "el reconocimiento de voz se desequilibra por el ruido de fondo, y cuando se utiliza un telfono anlogo o celular. Dado que es imposible engaar a un sistema de reconocimiento de voz a travs de la suplantacin o la imitacin, entonces es factible utilizar una grabadora para cometer fraude."161

Andy McCue, "Police Get National Biometric Palm Print Database," Silicon.com, 23 de marzo de 2006 <http://www.silicon.com/management/public-sector/2006/03/23/police-get-national-biometricpalm-print-database-39157511/>. 156 "Winnipeg Police Angling for Palm-Print Software," CBC News, 15 de enero de 2007 disponible en <http://www.cbc.ca/news/canada/manitoba/story/2007/01/15/palm-print.html>. 157 Brian Robinson, "Israel Uses Hands-on Approach for Trusted Travelers," FCW.com, 29 de agosto de 2005 <http://fcw.com/articles/2005/08/29/israel-uses-handson-approach-for-trusted-travelers.aspx>. 158 Linda More, "Case Study: ABN Amro: Dutch International Bank ABN Amro Is Using Biometric Voice Verification Security for Its Customers," 19 de abril de 2007, Computing.co.uk <http://www.computing.co.uk/ctg/analysis/1823699/case-study-abn-amro>. 159 "Now pay your credit card bills the secure way with your voiceprint," Malaysia Sun, 20 de Julio de 2007 <http://story.malaysiasun.com/index.php/ct/9/cid/d805653303cbbba8/id/266566/cs/1/>. 160 "Vista Has Speech Recognition Hole," BBC News, 17 de febrero de 2007 <http://news.bbc.co.uk/2/hi/technology/6320865.stm>. 161 Declaracin de Marc Rotenberg, Director Ejecutivo de la Electronic Privacy Information Center, y de Carla Meninsky, EPIC Asociada IPIOP, en la Audiencia Conjunta sobre Robo de Identidad que involucra a Ancianos como Victimas ante la Comisin Especial sobre Envejecimiento (18 de julio de 2002), disponible en <http://epic.org/privacy/biometrics/testimony_071802.html>.
155
47
Privacidad en el Centro Laboral

Los trabajadores alrededor del mundo son frecuentemente sujetos a cierto tipo de vigilancia por parte de sus empleadores.162 Los empleadores supervisan los procesos de trabajo con propsitos de control de calidad y de ejecucin. Ellos recolectan informacin personal de los empleados por diversas razones, tales como asistencia sanitaria, impuestos y verificacin de antecedentes. Tradicionalmente, esta vigilancia y recoleccin de informacin en el centro laboral implica alguna forma de intervencin humana o el consentimiento, o al menos el conocimiento, de los empleados. Sin embargo, la cambiante estructura y naturaleza del lugar de trabajo ha conducido a prcticas ms invasivas y a menudo de vigilancia encubierta lo que pone en tela de juicio los derechos ms bsicos de los trabajadores a la privacidad y a la dignidad dentro del centro laboral. Los progresos en la tecnologa han facilitado un crecimiento en el nivel de vigilancia automatizada. Ahora la supervisin del desempeo del empleado, su comportamiento y sus comunicaciones puede ser llevada a cabo por medios tecnolgicos, con mayor facilidad y eficiencia. La tecnologa que actualmente se est desarrollando es extremadamente poderosa y puede ampliarse a cada aspecto de la vida del trabajador. Los programas de software pueden registrar los golpes de teclado en las computadoras y monitorear imgenes exactas de la pantalla, los sistemas de manejo de telefona pueden analizar el patrn del uso de telfonos y el destino de las llamadas, y las cmaras miniatura y las credenciales "inteligentes" pueden monitorear el comportamiento del empleado, sus movimientos e incluso su orientacin fsica. Los avances en la ciencia han desplazado tambin las fronteras de lo que son los detalles personales y la informacin que un empleador puede adquirir de un empleado. Las pruebas psicolgicas, pruebas generales de inteligencia, pruebas de desempeo, pruebas de personalidad, verificacin de la honradez y de antecedentes, pruebas de consumo de drogas y pruebas medicas son utilizadas rutinariamente en el lugar de trabajo, en los mtodos de reclutamiento y evaluacin. Desde el descubrimiento del ADN, tambin ha habido un incremento en el uso de pruebas genticas, al permitir a los empleadores acceder a los ms ntimos detalles del cuerpo de una persona con el fin de predecir la susceptibilidad a enfermedades, y condiciones mdicas, o incluso de comportamiento. El xito del Proyecto Genoma Humano probablemente har esta clase de pruebas ms frecuentes. Actualmente, las pruebas genticas son muy costosas para muchos empleadores, y no se utilizan frecuentemente como otras formas de prueba mdica o de consumo de drogas.163 El Artculo 21 de la Carta de los Derechos Fundamentales de la Unin Europea dispone explcitamente que "cualquier discriminacin basada en . . . caractersticas genticas . . . debe ser prohibida."164

Para una til visin general de los temas de privacidad en el centro laboral, mayormente en los Estados Unidos de Amrica, vase en general la pgina de Privacidad en el Centro Laboral de la Electronic Privacy Information Center (EPIC) <http://epic.org/privacy/workplace/>. 163 Aunque no son econmicamente accesibles, la posibilidad de evaluacin gentica para el empleo ha impulsado a algunas compaas como la IBM a asegurar a sus empleados que no utilizar datos mdicos para fines de evaluacin de personal. Steve Lohr, "IBM pledges to assure privacy of employees' genetic profile," ("IBM promote garantizar la privacidad del perfil gentico de sus empelados) N.Y. Times 10 de octubre de 2005. 164 Artculo 21 de la Carta de los Derechos Fundamentales de la Unin Europea. Disponible en <http://www.europarl.europa.eu/charter/pdf/text_es.pdf>.
162
48
La recoleccin de informacin personal y el uso de tecnologa de vigilancia por parte de los empleadores, a menudo se justifican con el argumento de la salud y la seguridad, las relaciones con los clientes o las obligaciones legales. Sin embargo, de acuerdo a un reciente estudio de la Privacy Foundation, es en realidad el bajo costo de las tecnologas de vigilancia ms que cualquier otra cosa lo que contribuye al incremento en la vigilancia.165 En muchos casos, la vigilancia en el centro laboral puede comprometer seriamente la privacidad y la dignidad de los empleados. Las tcnicas de vigilancia pueden ser usadas para acosar, discriminar y crear dinmicas perjudiciales en el centro laboral.
Antecedentes Jurdicos
Los defensores de la privacidad han mantenido por largo tiempo que la notificacin de la vigilancia o de una poltica de vigilancia debe, como mnimo, ser exigida antes de que los empleadores puedan comprometerse en tales actividades invasivas. Los defensores respaldan enrgicos principios de privacidad en el centro laboral como es el caso del "Cdigo de Prctica sobre la Proteccin de los Datos Personales de los Trabajadores" de la Organizacin Internacional del Trabajo, la cual protege los datos personales del trabajador y el fundamental derecho a la privacidad en la era tecnolgica.166 Estas guas fueron emitidas por la Organizacin Internacional del Trabajo en 1997, siguiendo tres estudios generales sobre las leyes internacionales de privacidad de los trabajadores.167 Los principios generales de este cdigo son: los datos personales deben ser utilizados en forma legtima y justa; slo por razones directamente relacionados al empleo del trabajador y slo para el propsito para el cual fueron originalmente recolectados; los empleadores no deben recolectar datos personales sensibles (p.ej., referentes a la vida sexual, poltica, religiosa, o relativa a otras creencias; o pertenencia a un sindicato o condenas criminales de un trabajador) a menos que esa informacin sea directamente pertinente para la decisin de empleo y sea recolectada de conformidad con la legislacin nacional; los polgrafos, equipos de verificacin de la verdad o cualquier otro procedimiento similar no deben ser utilizados; los datos mdicos slo deben ser recolectados de conformidad con la legislacin nacional y los principios de confidencialidad mdica; la investigacin de antecedentes genticos debe estar prohibida o limitada a los caso explcitamente autorizados por la legislacin nacional; y las pruebas de consumo de drogas slo deben ser llevadas a cabo de conformidad con la ley nacional y la prctica de las normas internacionales; los trabajadores deben estar informados por adelantado de cualquier monitoreo, y cualquier recoleccin de datos resultante de dicho monitoreo no debe ser el nico factor en la evaluacin del desempeo de los mismos;

The Privacy Foundation, The Extent of Systematic Monitoring of Employee E-mail and Internet Use, 9 de Julio de 2001 <http://www.sonic.net/~undoc/extent.htm>. 166 "Protection of workers' personal data," ("Proteccin de los datos personales de los trabajadores") Cdigo de Prctica de la OIT , Ginebra, Organizacin Internacional del Trabajo (1997). 167 Organizacin Internacional del Trabajo, Compendio de Condiciones de Trabajo: Privacidad de los Trabajadores Parte I: Proteccin de Datos Personales 10 (2) (1991); Privacidad de los Trabajadores Parte II: Monitoreo y Vigilancia en el Centro Laboral (1993) 12(1); y Privacidad de los Trabajadores Parte III: Pruebas en el Centro Laboral, 12(2) (1993).
165
49
los empleadores deben garantizar la seguridad de los datos personales ante perdida, acceso no autorizado, uso, alteracin o revelacin; y los empleados deben ser informados regularmente de cualquier dato manejado sobre ellos y debe permitrseles el acceso a dichos datos.168
El cdigo no crea legislacin internacional y no es de efecto vinculante. Este fue pensado para ser utilizado "en el desarrollo de legislacin, regulaciones, acuerdos colectivos, reglas de trabajo, polticas y medidas prcticas."169 Sin embargo, lamentablemente, las leyes difieren mucho de un pas a otro, y en algunos pases hay pocas restricciones legales sobre vigilancia en el centro laboral. En los Estados Unidos de Amrica, por ejemplo, los tribunales han sido usualmente lentos para reconocer el derecho de los trabajadores a la privacidad. Todava no ha habido ninguna sentencia satisfactoria y uniforme sobre el nivel de privacidad que tienen derecho los empleados y de qu manera dicha privacidad debe ser protegida. Muchos creen que ya que los empleadores tienen la titularidad o el "control" sobre las premisas del trabajo, y de sus contenidos e instalaciones, los empleados renuncian a todos sus derechos y expectativas a la privacidad y a ser libres de la invasin de la misma.170 Otros simplemente evitan el problema haciendo que sus empleados consientan la vigilancia, el monitoreo y la pruebas como condicin de empleo.171 Los empleados del sector pblico de los Estados Unidos de Amrica estn protegidos por varias leyes. La Cuarta Enmienda se aplica no slo a los funcionarios encargados de hacer cumplir las leyes, sino tambin a los funcionarios gubernamentales y tambin a los empleados. El derecho constitucional a la privacidad de la informacin, reconocida en Whalen contra Roe,172 puede proteger a los empleados ante la revelacin por parte del empleador de su informacin personal. Otras leyes que podran proteger la privacidad de empleados pblicos incluyen las disposiciones constitucionales pertinentes, leyes federales y estatales sobre interceptacin, la Ley de los Estadounidenses con Discapacidades (ADA, en ingls), la Ley Federal de Privacidad, y las demandas por agravios, en el derecho anglosajn, a la privacidad. Adems, dependiendo del tipo de contrato laboral que gobierne el acuerdo laboral, los empleados pblicos pueden tener derecho a recurso amparndose en las compensaciones contractuales. Sin embargo, la mayora de los acuerdos laborales son

Proteccin de los datos personales de los trabajadores, supra. Id. 170 Los empleados que no cuenten con inters posesorio en el centro laboral no pueden tener una expectativa razonable de privacidad en dicho lugar. Ver p.ej. Hall contra el Estado, 258 Ga. App. 502, 574 S.E.2d 610 (2002) (Disponible en ingls en <http://www.lexisone.com/lx1/caselaw/freecaselaw?action=OCLGetCaseDetail&format=FULL&sourceI D=bdjgjj&searchTerm=ehiS.hHEa.aadj.eeid&searchFlag=y&l1loc=FCLOW>); McInnis contra el Estado, 657 S.W.2d 113 (Tex. Crim. App. 1983). Disponible en <http://174.123.24.242/leagle/xmlResult.aspx?xmldoc=1983770657SW2d113_1758.xml&docbase=CSL WAR1-1950-1985>. 171 Una investigacin realizada por la American Management Association (AMA) hall que entre los empleadores incursos en monitoreo y vigilancia, la gran mayora informa a sus empleados que el uso de pginas web, correo electrnico, y golpes de teclado estn siendo rastreados. AMA "2006 Workplace EMail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-Mail, IM & Blog Violators." ("2006 Investigacin en el Centro Laboral sobre Correo Electrnico, Mensajera Instantnea y Blogs: Los Jefes combaten el Riesgo Despidiendo a los transgresores del Correo Electrnico, la Mensajera Instantnea y los Blogs"), disponible en <http://press.amanet.org/press-releases/28/2006-workplace-email-instant-messaging-blog-survey-bosses-battle-risk-by-firing-e-mail-im-blog-violators/>. 172 Whalen contra Roe 429 U.S. 589 (1977). Disponible en ingls en <http://supreme.justia.com/us/429/589/case.html>.
169 168
50
considerados "a voluntad," lo que significa que los empleados pueden ser despedidos por cualquier razn o por ninguna, siempre que se les d el aviso con la anticipacin debida. Una excepcin a esta regla general es que el empleado no puede ser despedido por una razn que viole normas de orden pblico, tal como por no cumplir con un procedimiento invasivo de la privacidad. En caso que esto ocurra, los empleados pueden presentar una demanda judicial por despido injusto en violacin de normas de orden pblico. Los trabajadores del sector privado de los Estados Unidos de Amrica tienen algunas, pero no todas las protecciones proporcionadas a los empleados del sector pblico. La Cuarta Enmienda y muchas constituciones estatales no se aplican a los trabajadores privados. Sin embargo, las leyes federales de interceptacin se aplican tanto a los empleados pblicos como a los privados. Los trabajadores del sector privado pueden a su vez entablar un recurso por invasiones a la privacidad al amparo de la Ley de los Estadounidense con Discapacidades (ADA), violaciones a las teoras del contrato y daos a la privacidad. A nivel internacional, las regulaciones que gobiernan la compilacin y el uso de los datos personales de los empleados varan significativamente. En los pases europeos, la recoleccin y el procesamiento de la informacin personal est protegida por las Directivas de Proteccin de Datos y de Privacidad de la Telecomunicaciones de la UE.173 Sin embargo, esa ltima Directiva dispone la confidencialidad de las comunicaciones para sistemas "pblicos" y por tanto no cubrira los sistemas en manos de privados en el lugar de trabajo.174 Sin embargo, los principios colocados en estas directivas son de alcance general y su aplicacin a problemas de privacidad en el centro laboral no son siempre claros. No obstante, muchos pases europeos tienen slidos cdigos laborales y leyes sobre privacidad que directa o indirectamente prohben o restringen este tipo de vigilancia.175 Las Constituciones de Blgica, Finlandia, Alemania, Grecia, los Pases Bajos y Espaa contienen un derecho general a la proteccin de la privacidad en la vida privada. Dinamarca y Suecia cuentan con derechos constitucionales explcitos a la proteccin de la privacidad relativa al tratamiento electrnico de datos.176 En Finlandia, una nueva ley sobre Proteccin de Datos en la Vida Laboral entr en vigor en octubre de 2004. La nueva ley incluye la prohibicin de pruebas rutinarias sobre consumo de drogas, restricciones al derecho a la video vigilancia y la garanta de privacidad limitada con relacin a los correos electrnicos para los trabajadores.177 Blgica cuenta con un convenio colectivo que protege la privacidad en lnea de los empleados.178 En junio de

Vea "Data Protection at Work: Commission Proposes New EU Framework to European Social Partners," European Commission (2002) 174 Directiva relativa al Tratamiento de Datos Personales y a la Proteccin de la Intimidad en el Sector de las Telecomunicaciones (Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de diciembre de 1997), disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001:0008:ES:PDF>. 175 Para un resumen de los pases europeos y de sus marcos legales para la proteccin de la privacidad de los empleados, dirjase a Catherine Delbar, et al, "New technology and respect for privacy at the workplace," ("Nuevas tecnologas y respeto a la privacidad en el centro laboral") 2003, disponible en <http://www.eurofound.europa.eu/eiro/2003/07/study/tn0307101s.htm>. 176 Id. 177 European Industrial Relations Observatory On-line (EIRO), "New rules on workplace privacy come into force," 15 de febrero de 2005, <http://www.eurofound.europa.eu/eiro/2005/02/inbrief/fi0502201n.htm>. 178 Delbar, "New technology and respect for privacy at the workplace," supra.
173
51
2005, el Comisionado de Privacidad del Reino Unido public el The Employment Practices Data Protection Code," ("Cdigo de Prcticas de Proteccin de Datos en el Puesto de Trabajo"), una gua prctica para las relaciones empleador-empleado.179 Una disposicin significativa exige que cualquier registro de enfermedades y accidentes, que detalle la causa mdica de cualquier ausencia, sea mantenida separada de los registros mdicos que no revelan condiciones mdicas.180 En mayo de 2002, el Grupo sobre Proteccin de Datos del Artculo 29 de la Unin Europea emiti un documento de trabajo sobre monitoreo y vigilancia de comunicaciones electrnicas en el centro laboral. El documento fija principios que los empleadores deben tomar en cuenta cuando estn tratando datos personales de los trabajadores. Estos principios incluyen: finalidad (los datos deben ser recolectados para un propsito legitimo y especifico); transparencia (los trabajadores deben saber que datos sobre ellos estn colectando los empleadores); y seguridad (el empleador debe implementar las medidas de seguridad en el lugar de trabajo para garantizar la seguridad de los datos personales de los trabajadores).181 Actualmente tanto la Organizacin Internacional del Trabajo (OIT) y el Consejo de Europa han establecido guas especficas que establecen la proteccin de datos en las relaciones de empleo.182 Adems, el artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea se refiere a la proteccin de datos personales, y los Artculos 21, 26 y 31 contienen disposiciones pertinentes a la proteccin de los datos privados de los empleados.183 En algunas partes del mundo las disfunciones dentro de los sistemas legales, o un inadecuado Estado de derecho han llevado a un desconocimiento de los derechos fundamentales de los empleados. Ejemplos de ello incluyen a Cisjordania y la Franja de Gaza,184 frica Subsahariana185 y China.186 Tailandia tambin ha estado bajo fuego por vigilar fuertemente el uso de Internet de sus ciudadanos.187

Comisionado de Proteccin de Datos, Cdigo de Practicas en el Puesto de Trabajo, junio de 2005. Id. 181 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Documento de trabajo relativo a la vigilancia de las comunicaciones electrnicas en el lugar de trabajo, 5401/01/ES/Final WP 55, 29 de mayo de 2002, disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp55_es.pdf>. 182 "La Proteccin de Datos en el Trabajo: la Comisin Propone un Nuevo Marco Comunitario a los Interlocutores Sociales Europeos," disponible en <http://europa.eu/rapid/pressReleasesAction.do?reference=IP/02/1593&format=HTML&aged=1&langua ge=ES&guiLanguage=en>. 183 Id. 184 ILO, "The situation of workers of the occupied Arab territories," 2007, disponible en <http://www.ilo.org/public/english/standards/relm/ilc/ilc96/pdf/rep-i-a-ax.pdf>. 185 Vea en general OIT, "The Decent Work Agenda in Africa: 2007-2015," ("La Agenda de Trabajo Decente en Africa: 2007-2015" Abril de 2007, disponible en <http://www.ilo.org/wcmsp5/groups/public/--dgreports/---dcomm/---webdev/documents/publication/wcms_082282.pdf> (donde se debate la necesidad de erradicar el trabajo infantil previo a la implementacin de las normas laborales). 186 El Proyecto Escudo Dorado (Golden Shield Project) de China pretende crear una red de vigilancia a nivel integral, complementada con reconocimiento vocal y facial, sistema de Circuito Cerrado de Televisin (CCTV), tarjetas inteligentes, y tecnologa de vigilancia de Internet. Este proyecto afectar todos los aspectos de la vida de un ciudadano. Vea Clive Thompson, "Google's China Problem (and China's Google Problem)," ("El Problema de China para Google (y el Problema de Google para China") N.Y. Times, 23 de abril de 2006. 187 "Thailand: Military-Backed Government Censors Internet," Human Rights Watch, 24 de mayo de 2007, disponible en <http://www.hrw.org/en/news/2007/05/22/thailand-military-backed-governmentcensors-internet>.
180 179
52
Vigilancia en el Centro Laboral

Los empleadores estn optando cada vez ms por la video vigilancia para monitorear las actividades de sus trabajadores. Al responder la pregunta de si es permisible el uso de la video vigilancia por parte de un empleador, las cortes de los Estados Unidos de Amrica han examinado las expectativas de privacidad de los empleados en el rea que est siendo monitoreada, as como han considerado cualquier ley o regulacin aplicable que gobierne tal registro. Las cortes federales han sostenido casi unnimemente que la video vigilancia sin audio no est prohibida por el Ttulo I de la Ley de Privacidad de las Comunicaciones Electrnicas (ECPA) de 1986.188 Pero que la video vigilancia que incluya la capacidad de registrar las conversaciones violara el Titulo I. La video vigilancia silenciosa est sujeta a las protecciones de la Cuarta Enmienda ante registros excesivos, pero al menos un tribunal ha sostenido que la Cuarta Enmienda es slo aplicable si un empleado tiene una expectativa razonable de privacidad en el rea que est vigilada.189 Si los empleados no tienen una expectativa razonable de privacidad en el rea bajo observacin tal como en un rea de casilleros que puede ser vista por cualquiera que ingrese la Cuarta Enmienda no est siendo transgredida, sin importar la naturaleza del registro. A nivel internacional, la video vigilancia es utilizada en forma generalizada por distintas razones. Australia gasta mucho ms dinero per cpita que otras naciones industrializadas en equipos de video vigilancia.190 Su Ley de Video Vigilancia en el Centro Laboral de 1998 regula el uso de videocmaras. Una modificacin a la Ley se aprob en el 2005, para ampliar el alcance de la ley e incluir la vigilancia por correo electrnico, Internet y dispositivos de rastreo.191 La video vigilancia se justifica como medida de seguridad para disuadir el robo, vandalismo u otras intrusiones no autorizadas, y para monitorear el cumplimiento de los empleados de los procedimientos sanitarios y de seguridad, as como el desempeo en general. Sin embargo, el Estado de Victoria en Australia aprob una ley para frenar la video vigilancia de parte de los empleadores, prohibiendo la vigilancia en lavatorios, baos y vestuarios.192 De manera similar la Agencia de Proteccin de Datos de Irlanda emiti guas no vinculantes prohibiendo el uso de Circuito Cerrado de Televisin (CCTV) en lavatorios.193 La vigilancia del lugar de trabajo en Nueva Zelanda es preeminente, y de acuerdo a un informe emitido por la Oficina del Comisionado de Privacidad a menudo ocurre ms all del alcance de la ley debido a la desregulacin del mercado laboral.194 La actual poltica en Nueva Zelanda, es permitir negociaciones respecto de la vigilancia de los lugares de trabajo en respeto a acuerdos laborales entre empleadores y empleados en vez de establecer una legislacin que regule tales actividades, aunque la ley de empleo y

18 U.S.C. 2510-2522. Thompson contra Johnson County Community College, 930 F. Supp. 501 (D. Kan. 1996). 190 "Report 98, Surveillance: an interim report," Law Reform Commission Publications (2001) <http://www.lawlink.nsw.gov.au/lrc.nsf/pages/r98chp07>. 191 Workplace Surveillance Bill 2005 (NSW), disponible en <http://www.parliament.nsw.gov.au/prod/parlment/NSWBills.nsf/0/941266A03EB10718CA256FF60024 2EDB>. 192 "Bosses Face New Privacy Laws in Toilets," The Age, 1 de Julio de 2007. 193 Irish Data Protection Commissioner, "Use of CCTV in Business Premises, Including Toilet Areas," Disponible en <http://www.dataprotection.ie/viewdoc.asp?DocID=410&m=f> [visitado en 2007] 194 "Workplace Monitoring, Surveillance "Common,'" News From the Office of The Privacy Commissioner, Issue No. 30, Ene Feb. 1999. Disponible en <http://web.archive.org/web/20071011181749/http://www.knowledgebasket.co.nz/privacy/semployf.html>.
189 188
53
los trminos contractuales empleados de una oferta justa ofrecen a los empleados algunas protecciones. Los empleadores en Nueva Zelanda tienen derecho a dar pasos razonables para monitorear el desempeo de los trabajadores, para salvaguardar las condiciones de trabajo, y para asegurar su posicin en el mercado. A los empleados, a su turno, se les da generalmente protecciones para salvaguardar su persona, propiedad y conversaciones privadas y creencias, y estn provistos con las facultades necesarias para enmendar hechos irrelevantes, imprecisos o incompletos que se consideren en las decisiones laborales. Los biomtricos han sido introducidos en los centros laborales en Nueva Zelanda con pocos problemas. En un caso, la New Zealand Engineering Printing and Manufacturing Union se quej al Comisionado de Privacidad sobre la introduccin, por parte de una compaa, de tecnologa de escaneo de dedos para controlar el tiempo. El Comisionado de Privacidad se form la opinin de que la recoleccin de informacin personal de los empleados por este medio era tanto legal como necesaria en trminos de los principios de privacidad de la informacin.195 Sin embargo, la introduccin de tecnologa de escaneo de dedos podra ser ilegal en circunstancias en las que el empleador viole disposiciones contractuales o reglamentarias que implican la consulta a los empleados involucrados.196
Monitoreo del Desempeo

El monitoreo automatizado se ha vuelto cada vez ms comn en los ltimos aos. Incluso en centros laborales con personal altamente especializado en tecnologa de la informacin, los empleadores reclaman el derecho de espiar cada detalle del desempeo de un trabajador. Los modernos sistemas de redes pueden interrogar a las computadoras para determinar qu tipo de software est siendo utilizado, cuan a menudo y de qu manera. Un seguimiento auditado general da a los administradores un perfil de cada usuario, un panorama de cmo estn interactuando los trabajadores con sus mquinas. Los programas de software pueden tambin dar a los administradores control total central de la PC de un individuo. Un administrador puede ahora remotamente modificar o suspender programas en cualquier mquina, mientras que al mismo tiempo lee y analiza el trfico de correos electrnicos y la actividad en Internet. Un informe reciente de la American Management Association (Asociacin Estadounidense de Administracin) encontr que casi ochenta por ciento de las ms grandes compaas de los Estados Unidos de Amrica monitorean a los empleados en el trabajo por medio de la revisin de sus comunicaciones tales como conversaciones telefnicas, archivos de computadora, correos electrnicos y conexiones de Internet o mediante el uso de video vigilancia para evaluacin del desempeo y con propsitos de seguridad.197 Los chips de identificadores por radiofrecuencia (RFID) pueden ser implementados para rastrear la ubicacin de los empleados.198 En Suecia, los trabajadores mineros portan chips RFID en sus uniformes. En caso de accidentes, el chip informar sobre la ubicacin del minero a los equipos de rescate. En Japn, los empleadores utilizan los chips para monitorear el desempeo de los empleados. En la Ciudad de Mxico, dieciocho funcionarios gubernamentales recibieron implantes con identificadores por

Case Note 33623 [2003] NZPrivCmr 5. OCS Limited contra Service and Food Workers Union Nga Ringa Tota Inc., WN WC 15/06 (31 de agosto de 2006]. 197 American Management Association, "2005 Electronic Monitoring and Surveillance Study," 2005, disponible en <http://www.epolicyinstitute.com/survey2005Summary.pdf>. 198 Vea VeriChip Corporation <http://www.positiveidcorp.com/index.html>.
196 195
54
radiofrecuencia (RFID) para acceder a reas restringidas.199 Estambul aprob recientemente un contrato sobre RFID para instalar chips en sus vehculos municipales.200 El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de la Unin Europea examin el tema de los RFID en el centro laboral en un documento de trabajo publicado en enero de 2005.201 El Grupo recomend una mayor visibilidad para los empleados y otros del chip RFID, un incremento en la seguridad de los datos personales, as como el derecho de los empleados a corregir los datos almacenados. Un empleador puede monitorear el nivel de uso de una computadora por medio de la vigilancia de los golpes de teclado que un trabajador realiza. Muchas tecnologas estn disponibles para monitorear y analizar el desempeo de los trabajadores con tecnologas de la informacin (IT). Algunas permiten a los administradores de redes observar la pantalla de un empleado en tiempo real, explorar archivos de datos y correos electrnicos, analizar el desempeo a partir de los golpes en el teclado, e incluso sobrescribir contraseas.202 Una vez que esta informacin es recolectada, puede ser analizada por programas estndar de procesamiento para determinar el perfil de desempeo del trabajador. Estos productos de monitoreo son vendidos a muy bajos precios y se han infiltrado en el mercado. Estos programas de espionaje se han vuelto populares no slo entre empleadores sino en las fuerzas del orden, abogados particulares, investigadores y amantes sospechosos. En aquellos lugares en el que el personal tiene mayor movilidad, las compaas estn utilizando actualmente una variedad de tecnologas GPS para rastrear sus movimientos geogrficamente.203 Algunos hospitales en los Estados Unidos de Amrica ahora solicitan a las enfermeras que utilicen sus credenciales en sus uniformes de modo que puedan ser ubicadas permanentemente.204 Los avances en esta rea ahora permiten a las compaas transportadoras colocar un mecanismo electrnico (descrito como un sistema de comunicaciones mviles basado en satlites geoestacionarios)205 en los camiones los cuales envan la informacin de retorno a una terminal central que tiene la ubicacin exacta del vehculo permanentemente. De esta manera, las compaas transportadoras pueden garantizar que los vehculos no estn tomando otras rutas ni desviaciones fuera de la ruta prescrita. En China, un hombre present una demanda contra su empleador por espiarlo por medio de la capacidad de rastreo GPS de su telfono celular.206 En Corea del Sur, los empleados han acusado a Samsung de rastrear sus movimientos por medio del descifrado de las transmisiones de sus telfonos celulares.207 Finalmente una

ILO, World of Work Magazine, "RFID and Surveillance in the Workplace," Abril 2007, pginas 1619. 200 "Istanbul Municipality Selects Alien RFID Solution," Digital Media Asia, 6 de junio de 2007. 201 Article 29, Data Protection Working Party, "Working document on data protection issues related to RFID technology," Enero 2005. 202 Vea en general, Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006, <https://www.privacyrights.org/fs/fs7-work.htm>. 203 Murray Singerman, GPS Invasion of Worker Privacy, 37 Jun. Md. B.J. 54 (Mayo/Junio 2004). 204 "Monitoring Shrinks Worker Privacy Sphere," Eric Auchard, Reuters, 29 de mayo de 2001. 205 "Bulkmatic Equips Fleet with OmniTRACS System," Qualcomm Nota de Prensa del 19 de diciembre de 1996. Disponible en <http://www.qualcomm.com/news/releases/1996/12/19/bulkmatic-equips-fleetomnitracs-system>. 206 Raymond Li, "Firm accused of spying on worker," South China Post, 12 de mayo de 2007. 207 "Civic Groups to Select Worst Privacy Offenders for This Year," The Korea Times, 19 de noviembre de 2005.
199
55
compaa israel instalar chips de GPS en 3,500 buses con el fin de monitorear su ubicacin en tiempo real.208
Monitoreo Telefnico
La vigilancia telefnica se ha vuelto endmica en todo el sector pblico y privado. En los Estados Unidos de Amrica, los empleadores tienen una amplia libertad para monitorear las llamadas de los empleados con "fines comerciales."209 Las compaas estn utilizando ampliamente la tecnologa de anlisis telefnico. A los trabajadores de la central de llamadas de British Telecom se les presenta regularmente una hoja de anlisis general, mostrndoles su desempeo en relacin a otros trabajadores. Los trabajadores de reservaciones de las aerolneas en los Estados Unidos de Amrica y en otras partes del mundo portan auriculares telefnicos que monitorean la duracin y contenido de las llamadas telefnicas, as como la duracin de sus descansos para ir al bao y para almorzar.210 En abril de 2007, el Tribunal Europeo de Derechos Humanos emiti una sentencia vinculada al derecho a la privacidad de los empleados en la correspondencia enviada desde su centro laboral. En el caso Copland contra el Reino Unido, el Tribunal determin que el monitoreo del telfono, correo electrnico o de Internet de un empleado pblico, obstaculiza el derecho a la privacidad garantizado por el Artculo 8 del Convenio Europeo de Derechos Humanos.211 El Artculo 8 estipula que "todos tienen derecho al respeto a su vida privada individual y familiar, la de su hogar y de su correspondencia." La sentencia prohbe la vigilancia de las comunicaciones privadas en el centro laboral si no existe base jurdica para tal monitoreo.
Monitoreo del Correo Electrnico, el Uso de Internet y de Blogs
2 12
Las computadoras y las redes son particularmente propicias para la vigilancia. En el 2005 el American Management Association hall que el 76% de los empleadores monitoreaba el uso de Internet, y 55% retena y revisaba los mensajes de correo electrnico de sus empleados.213 Estos porcentajes obviamente crecen radicalmente cuando se hacen verificaciones al azar de vigilancia. Los empleadores pueden monitorear los mensajes de correo electrnico por medio de una revisin aleatoria de transmisiones de correo electrnico, o al revisar especficamente las transmisiones de

Ran Rimon, "3,500 Egged Buses to Get GPS," Financial Times Information Ltd., 15 de noviembre de 2006. 209 Al amparo de la ley federal, los empleadores pueden monitorear las llamadas no previstas de los empleados, pero una vez se percate que la llamada es de naturaleza personal, el monitoreo debe detenerse. Watkins v. L.M. Berry & Co., 704 F.2d 577, 583 (11th Cir. 1983). 210 Laura Pincus Hartman, "The Economic and Ethical Implications of New Technology on Privacy in the Workplace," Business and Society Review, 22 de marzo de 1999. 211 Copland v. United Kingdom, [2007] ECHR 253,disponible en <http://www.bailii.org/eu/cases/ECHR/2007/253.html>. 212 Para un vistazo general de la prevalencia del monitoreo de las computadores, el uso de Internet, y del uso del correo electrnico en los Estados Unidos de Amrica, vea Oficina General de Contabilidad de los Estados Unidos de Amrica, Privacidad de los Empleados: Monitoreo del Uso de Computadoras y Polticas de Compaas Seleccionadas (Computer-Use Monitoring and Policies of Selected Companies) (2002). 213 AMA, "2005 Estudio de Monitoreo y Vigilancia Electrnica," supra. Adems, en el 2001 la Privacy Foundation encontr que catorce millones de empleados en los Estados Unidos de Amrica estaban sujetos a esta clase de vigilancia de modo permanente. Vea Privacy Foundation, "El Alcance del Sistemtico Monitoreo del Uso del Correo Electrnico y de Internet, 9 de julio de 2001. <http://www.sonic.net/~undoc/extent.htm>.
208
56
ciertos empleados, o por medio de la seleccin de trminos clave para marcar los correos electrnicos. En el ltimo caso, un software analiza el trfico completo de correos electrnicos frase por frase y obtiene conclusiones de si un mensaje es o no de naturaleza comercial legtima de la compaa. ste puede ser programado para buscar palabras clave especficas y frases "perjudiciales". Algunos programas pueden incluso utilizar algoritmos para analizar patrones de comunicaciones y convertirlas en imgenes. Los monitores pueden entonces ver las imgenes para seguir los patrones de trfico y detectar si datos sensibles estn o no en riesgo. Muchos empleadores confan en el software de monitoreo remoto de mensajes de correo electrnico. Con unas cuantas pulsaciones en su teclado pueden ver cada correo electrnico que los empleados envan o reciben y determinar si son "legtimos" o no. Los administradores dan una serie de razones para instalar tal software. Algunos dicen que es para proteger los secretos comerciales o prevenir incidentes de acoso sexual. Otros quieren impedir mensajes sobredimensionados que atoren las redes y que utilicen demasiado ancho de banda. Otros simplemente no desean que los empleados "malgasten" el tiempo en la compaa utilizando sus sistemas para actividades personales. En un mundo ideal, este monitoreo seguira el formato convencional, p. ej., idntico al control de calidad que se ha aplicado a la correspondencia enviada afuera con el membrete de la compaa. Sin embargo, la velocidad y la eficacia del correo electrnico significan que la comunicacin digital involucra una vasta interseccin con la correspondencia personal. ste incluso tiene caractersticas ms en comn con un memorando interno, para el cual siempre ha habido menos monitoreo y gestin.214 En Nueva Zelanda, se acepta que los empleadores puedan monitorear el uso de Internet y despedir a empleados por mal uso del mismo,215 y tal mal uso podra incluso tener implicancias penales.216 En el lado opuesto, Francia ha establecido polticas estrictas que protegen la privacidad del uso de correo electrnico de los empleados. La Corte Suprema de Francia sostuvo que los empleadores no tiene el derecho de abrir ningn mensaje de sus empleados. La Corte dictamin en un caso entre Nikon y un exempleado que la compaa no tiene el derecho automtico para buscar en la bandeja de entrada de un correo electrnico.217 En los Estados Unidos de Amrica, pocas leyes regulan el monitoreo del correo electrnico y del uso de Internet de los empleados. Los tribunales en general fallan a favor del monitoreo del empleado.218 Sin embargo, [A1] hay una tendencia creciente entre las compaas para despedir o demandar a los empleados por divulgar secretos comerciales de la compaa o por difamar a la compaa en las salas de chat. Estos se han venido a conocer como los casos "Juan Prez" ("John Doe"). Debido a que la mayora de las personas se conecta a las salas de chat de manera annima o utiliza un sobrenombre, una vez que la compaa observa que cierto participante en una sala de chat se involucra en lenguaje "inapropiado", estos pueden citar judicialmente a los servicios de tablones de mensajes tales como Yahoo! o American Online, para obtener

Id. Vea Bisson & Ors contra Air New Zealand Ltd., CA 98/06 [3 July 2006] P. Montgomery (investigando la identidad de los empleados que accedieron a sitios pornogrficos cuando todos los empleados compartan informacin de usuarios); Cliff & Groom v. Air New Zealand Ltd., AC 47/06 [23 de agosto de 2006] Shaw J. (mantener esos datos alegando que el mal uso de Internet puede en vez de ello ser el resultado de avisos emergentes y otros accesos no manuales). 216 Vea "Man convicted of theft for internet use at work," Northern Advocate, 22 de agosto de 2006. 217 Nikon v. Onof, Decision No. 4164, 2 octubre, 2001 (99-42.942). 218 Privacy Rights Clearinghouse, Workplace Privacy and Employee Monitoring, 2006, supra.
215 214
57
la identidad de un participante especfico. Los proveedores de servicios a menudo se niegan a entregar informacin de identificacin cuando se presenta un requerimiento sin ninguna notificacin a la persona. El nmero de estos casos est creciendo rpidamente y amenaza no slo la privacidad de los empleados sino tambin sus derechos al anonimato y a la libertad de expresin.219 A medida que crece la blogsfera, la conjuncin entre "bloguear" en el trabajo y "bloguear" se hace oscura.220 En los Estados Unidos de Amrica, los empleados creen errneamente que la Primera Enmienda les otorga el derecho a publicar libremente sus ideas en pginas web personales.221 Sin embargo, la Primera Enmienda no protege a los empleados en compaas privadas en los casos de uso a voluntad.222 La falta de una gua legal ha forzado a algunos empleadores a despedir empleados "blogueros" por publicaciones de naturaleza no laboral en sus blogs (bitcoras) personales, por miedo a que dichos empleados puedan revelar informacin confidencial o hablar mal, en lnea, de la compaa.223 Otros empleadores, en cambio, prohben completamente, a su personal, el uso de blogs o adoptan guas para "bloguear".224 Actualmente, los empleados despedidos por blogueros no tienen derecho a indemnizaciones legales.225 Aunque estos casos son ms prevalentes en los Estados Unidos de Amrica, en el 2006, una expatriada britnica que vive en Francia tambin fue despedida por ser la autora de un blog personal annimo. Una corte francesa fall a su favor.226 Ella, es la segunda ciudadana britnica despedida por "bloguear".227 La popularidad de los sitios de redes sociales ha distorsionado ms la lnea entre el centro laboral y la persona en privado. En los Estados Unidos de Amrica, los empleadores ahora verifican los perfiles en lnea de los candidatos en los sitios de redes sociales antes de alcanzarles una oferta de empleo.228 Las fotos que muestran a un empleado potencial involucrado en actividades personales tales como consumo de

Actualmente existen casos pendientes sobre este tema que incluyen a Swiger contra Allegheny Energy, Inc., 2007 U.S. Dist. LEXIS 8610 (E.D. Pa. 4 de abril de 2007) (refutando el uso de una citacin por parte de la compaa para determinar la identidad de un empleado participante en un tablon de mensajes, y despedir posteriormente al empleado al descubrir su identidad) y H.B. Fuller Co. contra Doe, 2007 Cal. App. LEXIS 894 (Sup. Ct. of Santa Clara Cty., 31 de mayo de, 2007) (intentando descubrir la identidad de un mensaje annimo de un participante en un tabln de mensajes basado solamente en los hechos de la denuncia). 220 AMA, 2006 Workplace E-Mail, Instant Messaging, & Blog Survey: Bosses Battle Risk by Firing EMail, IM, & Blog Violators, 11 de Julio de 2006, ("2006 Investigacin en el Centro Laboral sobre Correo Electrnico, Mensajera Instantnea y Blogs: Los Jefes combaten el Riesgo Despidiendo a los transgresores del Correo Electrnico, la Mensajera Instantnea y los Blogs"), disponible en <http://press.amanet.org/press-releases/28/2006-workplace-e-mail-instant-messaging-blog-survey-bossesbattle-risk-by-firing-e-mail-im-blog-violators/>. 221 Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de 2005 <https://www.eff.org/wp/blog-safely>. 222 Id. 223 Todd Wallack, "Beware if your blog is related to work," San Francisco Chronicle, 24 de enero de 2005. 224 IBM, Blogging guidelines <http://www.ibm.com/blogs/zz/en/guidelines.html>. 225 Electronic Frontier Foundation, How to Blog Safely (About Work or Anything Else), 31 de mayo de 2005, supra. 226 Bobbie Johnson, "Briton sacked for writing Paris blog wins tribunal case," Guardian International, 30 de marzo de 2007. 227 Angela Doland, "Sacre blog! Fired gossip sues in Paris," Chicago Tribune, 21 de Julio de 2006. 228 Alan Finder, "For Some, Online Persona Undermines a Resume," N.Y. Times, 11 de junio de 2006.
219
58
drogas, alcohol o proezas sexuales pueden daar las posibilidades futuras de dicho candidato.229
Pruebas de Consumo de Drogas

Actualmente se est produciendo una creciente cantidad de pruebas de consumo de drogas en muchos pases. El nmero de las compaas que estn utilizando sta prueba ha crecido en proporcin al decrecimiento del costo de la prueba. Para muchos empleados, la prueba de consumo de drogas es ahora una parte comn de la vida laboral. Las compaas rutinariamente administran las pruebas en la etapa de reclutamiento o en periodos intermitentes durante la jornada, an cuando no hay evidencia de mala conducta, bajo rendimiento o cualquier otra razn que haga sospechar uso de drogas. Existen miles de equipos fciles de usar, disponibles en el mercado actualmente, los cuales pueden detectar trazos de droga en minutos sin la necesidad de un laboratorio. La mayora de estas pruebas analizan las muestras de cabello u orina para detectar trazos de drogas tales como anfetaminas, marihuana, cocana, opiceas y meta anfetaminas. A nivel internacional, el uso y las justificaciones para el uso de pruebas de consumo de droga en lugares de trabajo varan de un pas a otro. En los pases europeos, uno de los argumentos ms frecuentemente utilizados para las pruebas de consumo de drogas en lugares de trabajo y uno de los menos controversiales es que la prueba es un medio para garantizar la seguridad de los empleados. En Francia, Noruega y los Pases Bajos, slo los trabajadores en puestos tradicionalmente sensibles de seguridad, o aquellas posiciones que incluyan acceso a materiales peligrosos o informacin clasificada, estn sujetos a la prueba en cualquiera de sus formas.230 Correspondientemente hay menos pruebas y ms restricciones legales en estos pases. En los Pases Bajos, la aplicacin de la prueba antes de contratar a alguien es ilegal, y en Francia slo el mdico ocupacional puede decidir conducir pruebas de consumo de drogas, ms no el empleador.231 Por otro lado, las pruebas de consumo de drogas en el centro laboral son moneda comn en las compaas britnicas y suecas, en donde los trabajadores con todo tipo de responsabilidades pasan la prueba con el fin de garantizar la "seguridad del negocio."232 Un tema principal de tica generado por la prueba de consumo de droga es que tal proceso equivale a una injustificada invasin de la privacidad. La mayora de las guas para la prueba de consumo de droga en centros laborales, tales como los Principios Guas en las Pruebas de Drogas y Alcohol de la OIT 1996, requieren que el consentimiento informado del trabajador sea obtenido antes de administrar la prueba. Los opositores a la prueba, tales como la Comisin Federal Alemana de Proteccin de Datos y el Comisionado Suizo de Proteccin de Datos, argumentan que debido a que los trabajadores son dependientes de sus empleadores, un consentimiento significativo para una prueba de consumo de drogas en el centro laboral no es posible.233 Esta poltica no es seguida en algunos pases. En el Reino Unido, la falta de cumplimiento del

Para mayor informacin sobre redes sociales y sus implicaciones en la privacidad, vea la seccin de Redes Sociales de Privacy and Human Rights. 230 Behrouz Shahandeh & Joannah Caborn, "Ethical Issues in Workplace Drug Testing in Europe," SafeWork: ILO Geneva (febrero, 2003) <http://www.ilo.org/safework/lang--en/index.htm>. 231 Id. 232 Id. 233 Id.
229
59
requerimiento para la prueba de consumo de drogas que este incluido en un acuerdo laboral puede ser interpretada como una infraccin disciplinaria.234 Algunas constituciones europeas, por ejemplo la de Blgica y Finlandia, sostienen que los derechos fundamentales tales como el derecho a la privacidad son indivisibles y que un individuo no puede consentir prescindir de estos derechos.235 Los temas de privacidad implcitos en la esfera de la prueba para consumo de drogas en el lugar de trabajo se hallan dentro de las grandes preocupaciones sobre proteccin de datos. Los procesos de la prueba implican la recoleccin de datos sensibles tanto en el uso de drogas como de medicacin tomada, la cual puede influir en los resultados de la prueba. La recoleccin y el almacenamiento de tal informacin est por tanto, no slo sujeta a un estricto control en muchos pases europeos, sino tambin sujeta a normas europeas tales como las Directivas de Proteccin de Datos y Privacidad de las Telecomunicaciones de la UE y el Cdigo de Prctica sobre la Proteccin de los Datos Personales de los Trabajadores de la OIT 1996.236 En algunos pases europeos, la tensin entre la necesidad de una seguridad en el lugar de trabajo y la proteccin de la informacin personal se resuelve reforzando el rol del mdico ocupacional. En Finlandia, Francia, Blgica, Alemania y Austria, los resultados de las pruebas de drogas son comunicados al mdico ocupacional, no al empleador. El doctor es el nico autorizado a informar al empleador si la persona es adecuada o no para el trabajo; no que resultados revel la prueba de drogas. Las pruebas de consumo de drogas son imprecisas y pueden a menudo conducir a resultados falsos y engaosos. [A3] Pruebas altamente sensibles pueden ser positivas incluso cuando la droga buscada no est presente. Algunos afirman que resultados positivos pueden ser producto de un remanente despus de prueba positiva fuerte realizada anteriormente o de errores humanos, tales como contaminacin debido a una deficiente limpieza del equipo.237 Otros resaltan que ciertas sustancias legales pueden tambin producir resultados positivos de consumo de drogas ilegales. Por ejemplo, ha habido informes de que el uso de inhaladores Vick producen resultados positivos para pruebas de anfetaminas y meta anfetaminas, medicinas antiinflamatorias comunes como el Ibuprofeno han resultado en resultados positivos de consumo de marihuana, e incluso trazos de morfina han sido detectados como semillas de amapola.238 Otros temas que plantean preocupaciones de privacidad en los centros laborales son los requerimientos de los empleadores para que los trabajadores completen pruebas mdicas, cuestionarios y pruebas poligrficas. En los Estados Unidos de Amrica, el uso de pruebas de polgrafos por parte de los empleadores ha sido limitado por normas federales. El Congreso aprob la Ley de Proteccin Poligrfica del Empleado (EPPA),239 la cual hace ilegal para los empleadores del sector privado el solicitar a actuales o futuros trabajadores el pasar una prueba de detector de mentiras. La norma excepta a los empleados pblicos en los niveles federal, estatal y local. Sin embargo, existen algunas pocas excepciones a la EPPA. Por ejemplo, los empleadores puedes

Id. Id. 236 Id. 237 John P. Morgan, "Problems of Mass Urine Screening for Misused Drugs," Journal of Psychoactive Drugs. Volume 16(4) 305-317 (1984). 238 National Academy of Sciences, "Under the Influence? Drugs and the American Work Force," 1994. Vea tambin ACLU, "Drug Testing: A Bad Investment," septiembre 1999, disponible en <http://www.aclu.org/drug-law-reform/drug-testing-bad-investment>. 239 29 U.S.C. 2001-2009.
235 234
60
usar polgrafos como parte de una investigacin en marcha que involucre prdidas econmicas o daos al negocio del empleador y los empleadores que proporcionan servicios de seguridad estn exceptuados. A nivel internacional, existen pocas leyes de privacidad en centros laborales que especficamente traten el uso de polgrafos en el contexto laboral. En Europa, pruebas de honradez a travs de medios mecnicos, tales como polgrafos o analizadores de acentos de voz, o por medio de cuestionarios que se esfuerzan en evaluar la actitud del trabajador frente a la honestidad, no estn expresamente reguladas.240 En otros lugares, las pruebas mecnicas de honestidad estn prohibidas por reglamento como en el territorio canadiense de New Brunswick y Ontario y tambin estn prohibidas en el estado australiano de Nueva Gales del Sur.241 En Hong Kong, la Corte Distrital les concedi a tres hombres pagos por daos despus que la Comisin de Igualdad de Oportunidades concluyera que haban sido despedidos por tener una predisposicin gentica a la esquizofrenia.242 La Cmara de Representantes de los Estados Unidos de Amrica aprob recientemente una Ley de No Discriminacin por Informacin Gentica, con el objeto de prohibir a los empleadores y a las compaas de seguros discriminar basados en la gentica.243 El proyecto de ley ahora se halla en el Senado. Varios pases europeos han introducido tambin la prohibicin a las compaas de seguros de utilizar pruebas genticas predictivas para decidir las primas. Zimbabwe, Rumania y las Bahamas prohben pruebas obligatorias de HIV en el contexto laboral.244 Muchos empleadores africanos conducen evaluaciones de salud previas a la contratacin de empleados que incluyen pruebas de HIV.245 Los pases del Occidente Africano como Kenya y Tanzania prohben por ley la evaluacin de HIV, pero Uganda no cuenta con una ley equivalente.246 En el Oeste de frica, Nigeria247 y Camern248 han adoptado polticas dirigidas a tratar la epidemia de HIV al tiempo de proteger a los empleados infectados de acciones discriminatorias.

Propuestas para la agenda de la 87ma Sesin (1999) de la Conferencia, ante el Organismo de Gobierno de la OIT, GB.267/2, 267ma Sesin, Geneva, noviembre 1996 <http://www.ilo.org/public/english/standards/relm/gb/docs/gb267/gb-2.htm>. 241 Id. 242 "China Is Thwarted by Jobs Ruling: Hong Kong Judge's Decision on Gene Data Hailed as Civil Rights Landmark", The Observer, 1 de octubre de 2000. 243 Genetic Information Non-Discrimination Act of 2007 (GINA), H.R. 493, 110th Cong. (2007). 244 "Equality at work: Tackling the challenge," OIT, 2007. 245 Center for Global Development, Does the Private Sector Care About AIDS?, 20 de enero de 2006, disponible en <http://www.cgdev.org/content/publications/detail/5850>. 246 "Does the Private Sector in East Africa Care About AIDS?," The East African, 31 de enero de 2006. 247 Vea "FG approves workplace policy on HIV/AIDS," This Day, 13 de mayo de 2007. 248 Vea Zekeng L. et al., "Scaling-Up HIV/AIDS Prevention and Care in Cameroon: Lessons Learned by the ational AIDS Control Committee (NACC)," International Conference on AIDS, July 11-15, 2004; "Gov't Tackles HIV/Aids in the Workplace," Cameroon Tribune, 17 de enero de 2006.
240
61
Sitios de Redes Sociales y Comunidades Virtuales

Las redes sociales son creaciones pre-tecnolgicas que los socilogos llevan analizando dcadas. Pero con el surgimiento de Internet, las redes sociales y las redes tecnolgicas se han vuelto indisolublemente ligadas, de modo que el comportamiento en las redes sociales puede ser rastreado en una escala jams vista anteriormente.249 Los sitios de redes sociales tales como Facebook, MySpace y Orkut son herramientas, para usuarios en lnea, cada vez ms populares de comunicacin, entretenimiento y de generacin de vnculos, para subir, compartir y ver informacin, fotos y mensajes. Haba, hasta el 2006, aproximadamente 200 sitios de redes sociales en Internet.250 En junio de 2007, los seis ms populares sitios de redes sociales atrajeron a un total de casi 274 millones de visitantes a nivel global.251 Noventa por ciento de los ciudadanos de Corea del Sur entre los veinticuatro y veintinueve aos son miembros de un sitio web coreano, www.cyworld.com.252 El nmero de usuarios brasileos de Orkut es del 56% del total de usuarios, seguido por los Estados Unidos de Amrica e India con 19% y 15% respectivamente.253 El relacionamiento social se ha vuelto incluso en los sitios de redes sociales en una plataforma de relacionamiento intercultural dado que los usuarios individuales aaden a otros provenientes de todas partes del mundo.254 La privacidad es un tema central en el contexto de los servicios de redes sociales. Algunos sitios de redes sociales se jactan de tener millones de miembros, pero existe una desconexin entre la percepcin sobre la privacidad que tienen los usuarios y aquella que realmente se da en la prctica.255 La informacin que los usuarios divulgan en los sitios de redes sociales, en realidad, nunca es privada. Mientras que ms de la mitad de los usuarios de sitios de redes sociales se preocupan de ser posibles vctimas de delitos informticos, stos continan sin embargo, publicando informacin que los puede poner en riesgo.256 Los sitios de redes sociales hacen extremadamente fcil subir distintas formas de informacin personal, entre ellas edad, informacin de contacto (incluida direccin domiciliaria y nmeros telefnicos), fotos, orientacin sexual y preferencias musicales.

Steve Lohr, "Computing, 2016: What Wont Be Possible?" New York Times, 31 de octubre de 2006, disponible en <http://www.nytimes.com/2006/10/31/science/31essa.html?ex=1319950800&en=64e41f3ff96acb9d&ei= 5088&partner=rssnyt&emc=rss>. Vea tambin la pgina web de Jon Kleinberg <http://www.cs.cornell.edu/home/kleinber/>. 250 OnLine NewsHour: Report, Networking Sites Draw Youth, Ads, 27 de septiembre de 2006 <http://www.pbs.org/newshour/bb/media/july-dec06/facebook_09-27.html>. 251 "Major Social Networking Sites Substantially Expanded Their Global Visitor Base during Past Year," ComScore, julio 2007 <http://www.comscore.com/Press_Events/Press_Releases/2007/07/Social_Networking_Goes_Global>. 252 Rachel Konrad, Korean social networking phenomenon aims to crack American market, 13 de agosto de 2006 <http://www.usatoday.com/tech/news/2006-08-13-cyworld_x.htm>. 253 Wikipedia, Orkut <http://en.wikipedia.org/wiki/Orkut>. 254 Erick Schonfeld, Cyworld ready to attack MySpace, 27 de julio de 2006, <http://money.cnn.com/2006/07/27/technology/cyworld0727.biz2/index.htm>. 255 Vea Bruce Schneier, "Facebook and Data Control," 21 de septiembre de 2006 <http://www.schneier.com/blog/archives/2006/09/facebook_and_da.html>. 256 "Social Networking Exposes You to Hackers and Identity Thieves," 2 de agosto de 2007 <http://www.essentialcomputersecurity.com/news/3/social-networking-exposes-you-to-hackers-identitytheives/>.
249
62
Algunos acadmicos expertos proponen que la falta de educacin acerca de los riesgos involucrados conduce a los usuarios a concluir que los beneficios de la socializacin superan los potenciales daos.257 Aunque los usuarios pueden sentir que tienen el control sobre su informacin personal, en muchos casos el contenido subido por el usuario en el sitio de redes sociales se convierte en propiedad del sitio.258 Los sitios de redes sociales crean un repositorio de informacin personal, y a menudo los sitios no educan adecuadamente a sus usuarios sobre los riesgos a la seguridad de su informacin.259 Incluso si los sitios de redes sociales no proporcionan la informacin de sus usuarios a terceras compaas, se presentan problemas de seguridad que dejan vulnerables a los usuarios, y a menudo, sin saberlo. Aunque incluso pequeas piezas de informacin pueden parecer inocuas, cuando se combinan pueden ofrecer a los ladrones de identidades un extremadamente alto ndice de correlacin de identidad. Por ejemplo, combinaciones simples de fechas de nacimiento y cdigos postales pueden ser suficiente informacin para identificar adecuadamente a una persona y proporcionar la base para la obtencin de mayor informacin. La informacin personal, una vez hecha pblica en Internet, puede volverse en contra de los usuarios posteriormente. Muchos grupos incluyendo colegios y padres preocupados estn alentando a los estudiantes a restringirse en la subida de informacin personal a los sitios de redes sociales debido a que los encargados de seleccionar estudiantes para las universidades y los empleadores estn empezando a realizar "verificaciones de personalidad" de los postulantes adems de verificaciones de antecedentes penales.260 Los pases difieren en su postura sobre las verificaciones de personalidad en lnea. Mientras que algunos pases concluyen que no hay ningn tema legal inherente a la investigacin en lnea sobre un empleado, otros pases han establecido barreras legales para impedir este tipo de actividades. En los Estados Unidos de Amrica, la Corte de Apelaciones del Circuito Federal de los Estados Unidos de Amrica recientemente dictamin que el utilizar Google para investigar a un empleado no viola su "derecho fundamental a la equidad."261 En contraposicin Finlandia ha erigido fuertes impedimentos legales que le niegan a los empleadores el derecho de realizar investigaciones en lnea de sus empleados o de potenciales empleados. Al amparo de la Ley de Proteccin de la Privacidad en la Vida Laboral de Finlandia, un empleador puede recolectar informacin sobre sus empleados o los postulantes a puestos de trabajo principalmente de ellos mismos. Si "otras fuentes" son utilizadas, se debe obtener primero el consentimiento del empleado.262 En un proceso, un hombre objet que su

Vea en general Danah Boyd, "Identity Production in a Networked Culture: Why Youth Heart MySpace," 19 de febrero de 2006 <http://www.danah.org/papers/AAAS2006.html>; "Social Network Users Have Ruined Their Privacy, Forever," 2 de agosto de 2007 <http://hexus.net/tech/features/software/7499-social-network-users-ruined-privacy-forever/>; Susan Barnes, "A Privacy Paradox: Social Networking in the United States," disponible en <http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1394/1312>. 258 Schneier, supra. 259 Jones and Soltren, "Facebook: Threats to Privacy," 14 de diciembre de 2005 <http://groups.csail.mit.edu/mac/classes/6.805/student-papers/fall05-papers/facebook.pdf>; see generally Fernanda B. Viegas, "Digital Artifacts for Remembering and Storytelling," 2005 disponible en <http://www.danah.org/papers/HICSS-37.pdf>. 260 Amy Hockert, "Employers Use "Facebook" and "MySpace" to Weed Out Applicants," 9 de septiembre de 2006 <http://www.firstcoastnews.com/news/local/story.aspx?storyid=64453>. 261 Declan McCullagh, "Police Blotter: Fired Federal Worker Sues Over Googling," 9 de mayo de 2007 <http://news.cnet.com/2100-1030_3-6182333.html?part=rss&tag=2547-1_3-0-20&subj=news>. 262 "Dont Google Job Applicants in Finland," 2 de agosto de 2007 <http://www.linksandlaw.com/newsupdate49-job-applicants-finland.htm>.
257
63
empleador haba utilizado informacin en su perjuicio que l public en un grupo de noticias cinco aos atrs.263 Algunas universidades han expulsado a adolescentes por violar los cdigos de conducta despus de descubrir fotos de estudiantes menores de edad posando delante de barriles o porque haban escrito sobre borracheras.264 Los usuarios de sitios de redes sociales tambin deben reconocer que una vez que algo aparece en Internet, es imposible eliminarlo.265 El copiado y almacenamiento intermitente de pginas web realizado por sitios como el Internet Archives Way Back Machine266 pueden hacer accesible la informacin personal por aos, incluso despus de que el contenido relacionado haya sido borrado de un sitio "activo". Los usuarios jvenes, en particular, estn confundidos acerca de lo que es privado y de lo que es pblico en Internet, y ello los vuelve gravemente vulnerables. Una reciente investigacin indica que el 36 por ciento de los padres no vigilan el uso de sitios de redes sociales de sus hijos.267 Los jvenes usuarios no slo deben ser educados respecto de los niveles apropiados de informacin para compartir, sino que tambin deben ser cautelosos sobre a quienes aaden a sus perfiles. Aunque los sitios de redes sociales de nios tales como el Club Penguin,268 puedan proveer un ambiente, en lnea, seguro para los nios, a los jvenes se les debe necesariamente ensear que el intercambio indiscriminado de informacin personal es peligroso y deja a los usuarios vulnerables a los correos comerciales no deseados (spam), al robo de identidad y al acoso de usuarios desconocidos.269 Algunos acadmicos expertos sostienen que la privacidad es ampliamente valorada entre los usuarios de los servicios de redes sociales.270 Este parece ser el caso cuando casi tres cuartos de milln de usuarios protestaron contra las nuevas caractersticas controversiales aadidas por Facebook en septiembre de 2006.271 Las "actualizaciones de noticias" ("news feed") de Facebook renueva una lista personalizada de nuevas historias a lo largo del da, mientras que su "actualizacin mini" ("mini-feed") muestra que ha cambiado recientemente en el perfil de una persona y que contenido (notas, fotos, etc.) han aadido. Luego del anuncio de los lectores de actualizaciones, los usuarios organizaron un grupo de Facebook llamado "Students Against Facebook News Feed" ("Estudiantes Contra las Actualizaciones de Noticas de Facebook") y 740,000 usuarios se unieron para protestar contra las caractersticas de actualizacin. La protesta pblica causada por la caracterstica de "actualizacin" fue una sorpresa para Facebook. La compaa no pens que haba un problema de privacidad debido a que slo estaba combinando datos para hacerles a los usuarios de la red social, su experiencia ms til y entretenida. Sin embargo, los usuarios objetaron el hecho de que Facebook permitiera que las Actualizaciones de Noticias empezaran a distribuir su

263 264
Id.
"Teens Bold Blogs Alarm Area Schools," 17 de enero de 2006 <http://www.healthtechzone.com/news/2006/jan/1292401.htm>. 265 "Social Network Users Have Ruined Their Privacy, Forever," supra. 266 "Internet Archive: Wayback Machine," 2 de agosto de 2007 <http://www.archive.org/web/web.php>. 267 Social Networking Exposes You to Hackers and Identity Thieves, supra. 268 Club Penguin <http://www.clubpenguin.com/>. 269 Vea en general Social network users have ruined their privacy, forever. Supra. 270 Vea en general Unit Structures, "You're not My Friend: A New Look at Privacy on Facebook," 31 de enero de 2007 <http://chimprawk.blogspot.com/2007/01/youre-not-my-friend-new-look-at_31.html>. 271 Facebook CEO: "We Really Messed This One Up", 8 de septiembre de 2006 <http://news.cnet.com/8301-10784_3-6113700-7.html>.
64
informacin sin ninguna advertencia previa.272 Uno de las preocupaciones principales de los usuarios fue que no se les haba comunicado explcitamente como los lectores de las actualizaciones trabajaban y cules eran sus opciones de privacidad. Facebook forz a los usuarios a alterar la configuracin de su privacidad despus de este hecho y despus de que algunas informaciones haban sido publicadas. Adicionalmente, Facebook no reconoci que el aumento de informacin permite la presentacin de datos de manera ms digerible, lo cual presenta preocupaciones sobre privacidad nicas.273 Los usuarios movilizados para lograr un cambio pueden tener un enorme impacto en las normas de privacidad en el mundo en lnea.274 La educacin de los usuarios con relacin a la discrepancia entre las expectativas de los usuarios sobre la privacidad y la actual realidad en lnea es clave en esta rea. Como los indignados usuarios de Facebook demostraron, un usuario motivado y con una enrgica concepcin de sus derechos puede, en el contexto de las redes sociales, ayudar a cambiar el panorama de la privacidad en lnea.

EPIC Social Networking, Social Networking Privacy, 3 <http://epic.org/privacy/socialnet/default.html>. 273 Bruce Schneier, "Facebook and Data Control," 21 de <http://www.schneier.com/blog/archives/2006/09/facebook_and_da.html>. 274 Schneier, supra.
272
de
agosto
de de
2007 2006
septiembre
65
Vigilancia de las Comunicaciones

La mayora de los pases alrededor del mundo regulan la interceptacin de comunicaciones por parte del gobierno o de individuos y organizaciones privadas. Estos controles tpicamente toman la forma de una disposicin constitucional de proteccin de la privacidad de las comunicaciones, leyes y regulaciones que implementan dichos requerimientos. Ha habido gran presin sobre los pases para adoptar leyes de intervencin de lneas telefnicas dirigidas a las nuevas tecnologas. Estas leyes tambin son en respuesta a presiones, por parte de las fuerzas del orden y de las agencias de inteligencia, para incrementar las capacidades de vigilancia. En Japn, la intervencin de lneas telefnicas slo fue aprobada como un mtodo legal de investigacin en 1999. Otros pases tales como Australia, Blgica, Alemania, Nueva Zelanda, Sudfrica y el Reino Unido han actualizado sus leyes para facilitar la vigilancia de las nuevas tecnologas.
Protecciones Legales y Derechos Humanos

Se reconoce a nivel mundial que la intervencin de lneas telefnicas y la vigilancia electrnica son formas altamente intrusivas de investigacin que deben slo ser utilizadas en circunstancias limitadas e inusuales. Casi todos los principales acuerdos internacionales sobre derechos humanos protegen el derecho de los individuos ante vigilancias invasivas injustificadas. Casi todos los pases en el mundo han promulgado leyes sobre la intercepcin de comunicaciones orales, telefnicas, de fax y tlex. En la mayora de los pases democrticos, las interceptaciones son iniciadas por las fuerzas del orden o una agencia de inteligencia slo despus de haber sido aprobado por un juez o algn otro tipo de magistrado independiente o un funcionario de alto nivel y generalmente slo por delitos graves. Frecuentemente, se debe demostrar que otros tipos de investigacin fueron intentados y no fueron exitosos. Existe alguna divergencia en lo que constituye un "delito grave" y una aprobacin adecuada. Varios pases entre ellos Francia y el Reino Unido han creado comisiones especiales que revisan el uso de la intervencin telefnica y vigilan que no se cometan abusos. Estos organismos han desarrollado una experiencia en el rea que la mayora de jueces que autorizan la vigilancia no tienen, al tiempo que tienen la capacidad para conducir investigaciones posteriores una vez que el caso ha sido cerrado. En otros pases, el comisionado de la privacidad o la autoridad de proteccin de datos tienen cierta capacidad para conducir la supervisin de la vigilancia electrnica. Una importante medida de supervisin que muchos pases emplean es el solicitar un informe anual sobre el uso de la vigilancia electrnica por parte de los departamentos del gobierno. Estos informes tpicamente proporcionan un resumen de detalles sobre el nmero de usos de la vigilancia electrnica, los tipos de crmenes para los que fueron autorizados, su duracin y otra informacin. Esta es una caracterstica comn de las leyes de intervencin telefnica en los pases de habla inglesa y en muchos otros de Europa. Los pases que publican informes anuales sobre el uso de la vigilancia incluyen a Australia, Canad, Francia, Nueva Zelanda, Suecia, el Reino Unido y los Estados Unidos de Amrica.
66
Estos pases reconocen que es necesario permitir a las personas fuera del gobierno el conocer sobre los usos de la interceptacin para limitar los abusos. Estos informes anuales son ampliamente utilizados en muchos pases por los Parlamentarios para supervisar e incluso por los periodistas, las ONGs y otros para examinar las actividades encaminadas al cumplimiento de la ley. Los informes han mostrado un incremento en el uso de la vigilancia en muchos pases entre ellos Australia,275 los Estados Unidos de Amrica y el Reino Unido mientras que otros tales como Canad se han mantenido iguales. Estas leyes estn diseadas para asegurar que actividades legitimas y normales en una democracia tales como el periodismo, las protestas cvicas, la organizacin en sindicatos o la oposicin poltica estn libres de ser sujetos de vigilancias injustificadas debido a que tienen diferentes intereses y objetivos que aquellos en el poder. Adems garantiza que crmenes relativamente menores, especialmente aquellos que generalmente no involucraran telecomunicaciones para su consumacin, no sean utilizados como pretextos para conducir vigilancias intrusivas por razones polticas y de otra ndole. Sin embargo, los abusos de las intervenciones telefnicas han sido revelados en la mayora de los pases, algunas veces ocurriendo a gran escala e involucrando miles de intervenciones ilegales. Los abusos invariablemente afectan a cualquiera que sea "de inters" para el gobierno. Los objetivos incluyen a polticos de oposicin, lderes estudiantiles y trabajadores de derechos humanos.276 Esto puede ocurrir incluso en los pases ms democrticos tales como Dinamarca o Suecia, donde recientemente se revel que las agencias de inteligencia estuvieron conduciendo la vigilancia de miles de activistas de tendencia izquierdista por aproximadamente 40 aos. Ms recientemente los escndalos de interceptaciones han involucrado a los gobiernos de Italia y Grecia. El Comisionado de Derechos Humanos de las Naciones Unidas en 1998 dej en claro que las protecciones de los derechos humanos sobre el secreto de las comunicaciones cubre ampliamente todas las formas de comunicaciones: En concordancia con las disposiciones del Artculo 17 del Pacto Internacional de Derechos Civiles y Polticos la integridad y la confidencialidad de la correspondencia deben ser garantizadas de jure y de facto. La correspondencia debe ser entregada al destinatario sin intercepcin y sin ser abierta o fuera de ello leda. La vigilancia, ya sea electrnica o de otro tipo, las intercepciones telefnicas, telegrficas o de otras formas de comunicacin, la intervencin telefnica y la grabacin de conversaciones debe ser prohibida.277 Muchos pases democrticos alrededor del mundo reconocen la necesidad de mayores protecciones. Recientemente, el Tribunal Constitucional Federal Alemn ha considerado si, las leyes sobre interceptacin aprobadas en 1998, son o no constitucionales.278 En marzo de 2004, el Tribunal Constitucional Federal Alemn

Agencia de Noticias Reuters "In Australia, Chances Are that Your Phone Is Tapped," 16 de septiembre de 2002. 276 United States Department of State, Country Report on Human Rights Practices 1997, J30 de enero de 1998. 277 Comisionado de Derechos Humanos de las Naciones Unidas, El derecho a respetar la privacidad, de la familia, del hogar y de la correspondencia, y la proteccin del honor y la reputacin (Artculo 17), CCPR Comentario General 16, 8 de abril de 1988. 278 The Associated Press, "Top German Court Hears a Challenge to Eavesdropping," in New York Times, 2 de Julio de 2003.
275
67
dictamin279 que porciones significativas de la Grosser Lauschangriff 1998280 las leyes de interceptacin de lneas telefnicas violaban las garantas de dignidad humana y de inviolabilidad de domicilio bajo los Artculos 1 y 13 de la Constitucin, o Ley Bsica.281 El Tribunal mantuvo que ciertas comunicaciones estn protegidas por un rea absoluta de intimidad donde los ciudadanos pueden comunicarse en privado y sin temor de una vigilancia gubernamental.282 Esto incluye las conversaciones con parientes cercanos, sacerdotes, doctores y abogados en su defensa, pero excluye las conversaciones sobre crmenes que ya han sido cometidos o el planeamiento de futuros crmenes. Sin embargo, para justificar la vigilancia entre el objetivo y dichas personas de confianza, el gobierno debe mostrar que "existe una fuerte razn para creer que el contenido de la conversacin no se encuentra en el mbito de la intimidad,"283 y que el crimen es un "delito grave".284 El Tribunal Europeo de Derechos Humanos emiti un dictamen de similar significancia en 2007. En el caso Copland contra Reino Unido, el Tribunal sentencin que, "La recoleccin y el almacenamiento de informacin personal vinculada al telfono de la demandante, as como a su correo electrnico y uso de Internet, sin su conocimiento, califica como una interferencia con su derecho a respetar su vida privada y su correspondencia dentro del alcance del Artculo 8."285
Normas Legales y Tcnicas para la Vigilancia: Construyendo al Gran Hermano

El gobierno de los Estados Unidos de Amrica ha liderado un esfuerzo a nivel mundial para limitar la privacidad individual y aumentar la capacidad de sus servicios de polica y de inteligencia para espiar las conversaciones personales. Esta campaa tiene dos estrategias. La primera es promover leyes que hagan obligatorio para todas las compaas, el desarrollar interruptores digitales de telfonos fijos, celulares o satelitales y de todas las tecnologas de comunicacin en desarrollo incorporando capacidades de vigilancia en los aparatos; la segunda es limitar el desarrollo y la diseminacin de productos, tanto en hardware como en software, que proporcionen capacidades de cifrado, una tcnica que permite a las personas mezclar sus comunicaciones y archivos para impedir que otros puedan leerlos.286 Las fuerzas del orden tradicionalmente han trabajo muy de cerca con las compaas de telecomunicaciones para formular acuerdos que haran a los sistemas de telefona "fciles de ser intervenidos." Estos acuerdos varan desde el hecho de permitir a la polica el acceso a los intercambios telefnicos, hasta el permitir a la polica instalar equipo para automatizar la interceptacin. Debido a que la mayora de los operadores de

BVerfG, 1 BvR 2378/98 vom 3.3.2004, Absatz-Nr. (1 - 373), disponible en <http://www.bverfg.de/entscheidungen/rs20040303_1bvr237898.html> (en Alemn). 280 "Grosser Lauschangriff: Definition, Bedeutung, Erklrung im Lexikon", Net Lexicon, disponible en <http://www.net-lexikon.de/Grosser-Lauschangriff.html> [visitado en 2007]. 281 Basic Law for the Federal Republic of Germany, I. Basic Rights, Articles 1, 13, disponible en <http://www.bundesregierung.de/en/Federal-Government/Function-and-constitutional-ba-,10222/I.Basic-rights.htm>. 282 C. Schrder, "Wiretap in Germany", German American Law Journal: American Edition (11 de marzo de 2004), disponible en <http://galj.info/2004>. 283 Schrder, Id. 284 "German Legal News - Constitutional Law", University College of London, Faculty of Laws, Institute of Global Law, disponible en <http://www.ucl.ac.uk/laws/global_law/legalnews/german/index.shtml?constitution>. 285 Copland contra Reino Unido, Application no. 62617/00, 3 de abril de 2007, <http://www.bailii.org/eu/cases/ECHR/2007/253.html>. 286 Vase David Banisar & Simon Davies, "The Code War," Index on Censorship, Enero 1998.
279
68
telecomunicaciones fueron a su vez monopolios u operados por agencias de telecomunicaciones gubernamentales, este proceso fue generalmente ocultado del ojo pblico. Luego de la desregulacin y de las nuevas participaciones en los Estados Unidos de Amrica a inicios de la dcada de 1990, las fuerzas del orden, encabezadas por el FBI, empezaron a demandar que todos los sistemas de telecomunicaciones actuales y futuros sean diseados para garantizar su capacidad de conducir interceptaciones. Luego de muchos aos de cabildeo, el Congreso de los Estados Unidos de Amrica aprob la Ley de Asistencia de las Comunicaciones para el Cumplimiento de la Ley (CALEA, en ingls) en 1994.287 Esta Ley fija los requerimientos legales para los proveedores de telecomunicaciones y los fabricantes de equipos sobre las capacidades de vigilancia que deben ser incorporadas en todos los sistemas telefnicos utilizados en los Estados Unidos. En 1999, por pedido de la Oficina Federal de Investigaciones (FBI), se dio una orden bajo la CALEA requiriendo a los proveedores que hicieran disponible la localizacin fsica de sus torres de comunicaciones que utilizan los telfonos celulares para conectarse al inicio y final de las llamadas.288 Gracias a un intenso cabildeo, los Proveedores de Servicios de Internet (ISPs) en los Estados Unidos de Amrica fueron exceptuados de la implementacin de estos requerimientos tcnicos bajo la CALEA. Sin embargo, los cambios se sienten en el viento, el FBI est haciendo un llamado a la Comisin Federal de Comunicaciones para ampliar la ley para reconsiderar las comunicaciones de Voz sobre IP (VoIP), es decir, las llamadas telefnicas por Internet y considerar a los proveedores como compaas de telecomunicaciones bajo la CALEA.289 Si estos proveedores son reclasificados, entonces los requerimientos para las capacidades de interceptacin bajo la CALEA tambin ser aplicarn a ellos. La interceptacin de contenidos sobre servicios digitales es una prctica legal comn en otros pases. En Australia la Ley de Telecomunicaciones 1997 coloca obligaciones sobre los operadores de telecomunicaciones para asistir completamente a los organismos encargados de hacer cumplir la ley en la ejecucin de sus deberes y de proporcionar la capacidad de interceptacin. Los costos de estas obligaciones son asumidos por los mismos operadores.290 En el Reino Unido la Ley de Regulacin de los Poderes de Investigacin 2000 requiere que los operadores de telecomunicaciones mantengan una "capacidad razonable de interceptacin" en sus sistemas y sean capaces de proporcionar previo aviso ciertos

Vea la pgina web de EPIC sobre interceptacin telefnica <http://epic.org/privacy/wiretap/>. Tercer Informe y Orden adoptada por la Comisin Federal de Comunicaciones, En el Tema de Asistencia de las Comunicaciones para el Cumplimiento de la Ley, CC Rotulo No. 97-213, FCC 99-230 (1999) (la "Orden"). La Orden fue emitida el 31 de agosto de 1999. Un resumen de la Orden fue publicado en el Registro Federal el 24 de septiembre de 1999. Vea 64 Fed. Reg. 51710. 289 Carta de EPIC al Honorable Michael K. Powell, Presidente de la Comisin Federal de Comunicaciones, 15 de diciembre de 2003, disponible en <http://www.epic.org/privacy/voip/fccltr12.15.03.html>. 290 Ley de Telecomunicaciones 1997, Partes 14 y 15. Adems, la Ley sobre Delitos Informticos de 2001 permite a los funcionarios ejecutantes el solicitar a una "persona especifica" con "conocimientos de una computadora o de un sistema de computo" proporcionar la asistencia en el acceso, copiado o conversin de los datos mantenidos o accesibles desde esa computadora. El incumplimiento de proporcionar la asistencia es una infraccin punible con seis meses de pena carcelaria. Ley sobre Delitos Informticos 2001, No. 161, 2001, que inserta las Secciones 3LA y 201A en la Ley Criminal 1914, disponible en <http://www.comlaw.gov.au/Details/C2004A00937>.
288 287
69
"datos de trfico."291 Adems impone una obligacin a terceros de entregar claves de cifrados. Estos requerimientos fueron posteriormente clarificados en la Orden de Regulacin de los Poderes de Investigacin (Mantenimiento de las Capacidades de Interceptacin) 2002. En los Pases Bajos, una nueva Ley de Telecomunicaciones aprobada en diciembre de 1998 requera que para agosto de 2000, los ISPs tuvieran la capacidad para interceptar todo el trfico con una orden judicial y mantener los registros de usuarios por tres meses.292 Esta ley fue promulgada luego de que XS4ALL, un ISP holands, se rehusara a conducir una amplia interceptacin de las comunicaciones electrnicas de uno de sus usuarios. En Nueva Zelanda, la Ley de Telecomunicaciones (Capacidades de Interceptacin) de 2004 obliga a las compaas de telecomunicaciones y a los ISPs a interceptar llamadas telefnicas y correos electrnicos ante el requerimiento de la polica y de los servicios de seguridad.293 La normativa tambin requiere a los operadores telefnicos descifrar las comunicaciones de un cliente si es que dicho operador le ha provisto el servicio de cifrado.294 En enero de 2002, una nueva Ley sobre la vigilancia de correos y telecomunicaciones entr en vigor en Suiza, exigiendo a los ISPs a realizar todas las acciones necesarias para permitir la interceptacin.295 En contraposicin, el Tribunal Constitucional Federal Austriaco sostuvo, en una sentencia296 en febrero de 2003, que la ley que obliga a los proveedores de servicios de telecomunicaciones a implantar medidas para la interceptacin a su costo es inconstitucional.297 La cooperacin internacional juega un rol importante en el desarrollo de estos estndares. En 1993, el FBI empez a ser el anfitrin de reuniones en sus instalaciones de investigacin en Quantico, Virginia como parte del "Seminario Internacional de Cumplimiento de la Ley mediante las Telecomunicaciones" (ILETS, en ingls). Las reuniones congregaban a representantes de Canad, China (Hong Kong), Australia y la Unin Europea. En estas reuniones, fue adoptada una norma tcnica internacional de vigilancia, basada en las exigencias del FBI a la CALEA, como el nombre de "Normas Internacionales para la Interceptacin." En enero de 1995, el Consejo de la Unin Europea aprob una resolucin secreta adoptando los estndares de la ILETS.298 A continuacin, muchos pases adoptaron la resolucin en sus leyes domesticas sin revelar el rol del FBI en el desarrollo de la norma. Luego de la adopcin, la Unin Europea y los Estados Unidos de Amrica propusieron un Memorando de Entendimiento (MOU, en ingls) para ser firmado por otros pases para comprometerse con los estndares. Muchos pases entre ellos Canad y Australia firmaron inmediatamente el MOU. Otros fueron alentados a adoptar los estndares para asegurar el comercio. Las organizaciones de normas internacionales, entre ellas la Unin Internacional de Telecomunicaciones

Ley de Regulacin de Poderes de Investigacin 2000, Secciones 12 (1) y 22 (4) respectivamente, disponible en <http://www.legislation.gov.uk/ukpga/2000/23/contents>. 292 Ley de Telecomunicaciones 1998. Normas pertinentes a las Telecomunicaciones (Ley de Telecomunicaciones), diciembre 1998. 293 Ley de Telecomunicaciones Capacidades de Interceptacin) 2004, disponible en <http://www.legislation.govt.nz/act/public/2004/0019/latest/DLM242336.html>. 294 Id. en la seccin 8. 295 Ley federal sobre la vigilancia de la correspondencia postal y de las telecomunicaciones (Loi fdrale sur la surveillance de la correspondance postale et des tlcommunications), (<http://www.admin.ch/ch/f/rs/c780_1.html>) y su respectivo nuevo decreto (<http://www.admin.ch/ch/f/rs/c780_11.html>). 296 <http://www.vfgh.gv.at/>. 297 Vea ms detalles en <http://epic.org/privacy/intl/austrian_vfgh-022703.html>. 298 Resolucin del Consejo del 17 de enero de 1995 relativo a la interceptacin legal de Telecomunicaciones, Diario Oficial de las Comunidades Europeas, 4 de noviembre de 1996, disponible en <http://www.interlex.it/testi/eu95lawf.htm>.
291
70
(UIT) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI, en ingls), fueron abordados con xito para adoptar los estndares.299
Vigilancia en Internet: Cajas Negras y Registradores de Golpes de Tecla

Un desarrollo vinculado ha sido el del uso de "cajas negras" en redes ISP para vigilar el trfico de usuarios. Los trabajos actuales de estas cajas negras son desconocidos para el pblico. La poca informacin que se ha hecho pblica revela que muchos de los sistemas estn basados en "descubridores de paquetes" tpicamente empleados por operadores de redes de computadoras para propsitos de seguridad y mantenimiento. Estos son programas de software especializados que se ejecutan en una computadora que esta enganchada dentro de la red en una ubicacin donde pueden controlar el flujo completo de trfico dentro y fuera de los sistemas. Los descubridores pueden controlar todo el flujo de datos buscando palabras clave, frases o cadenas tales como direcciones en la red o cuentas de correo electrnico. Por tanto pueden grabar o retransmitir para un estudio posterior cualquier cosa que se ajuste al criterio de bsqueda. En muchos de los sistemas, las cajas son conectadas a agencias del gobierno por medio de conexiones de alta velocidad.300 Nuevos mtodos de vigilancia, y en particular aquellos capaces de sortear el cifrado, estn tambin en desarrollo. Uno de tales mecanismos tecnolgicos es un sistema de "software de vigilancia". Un sistema de software de vigilancia registra los golpes de tecla y entradas individuales en un teclado de computadora. Los registradores de golpes de tecla pueden ser empleados para capturar cada tecla pulsada sobre un teclado de computadora, incluyendo la informacin que es digitada y luego borrada. Tales mecanismos pueden ser colocados manualmente por agentes de las fuerzas del orden en la computadora del sospechoso, o instalada "remotamente" mediante la colocacin de un virus, en la computadora del sospechoso, que develar las claves privadas de cifrado. El cuestionamiento de tales mtodos subrepticios de decodificacin policiaca surgi en el caso de los Estados Unidos de Amrica contra Scarfo.301 En este caso, el FBI instal manualmente un mecanismo de registro de golpe de tecla en la computadora del acusado con el fin de capturar el cifrado de su clave de acceso PGP. Una vez que descubrieron la clave de acceso, los archivos fueron descifrados y se encontr evidencia incriminatoria. En diciembre de 2001, el FBI confirm la existencia de una tcnica similar llamada "Linterna Mgica.302 Este mecanismo segn se informa permitira a la agencia infiltrar un registrador de golpes de tecla en forma de un caballo de Troya en la computadora que sea el objetivo por medio del envi de un virus de computadora por Internet; en vez de requerir acceso fsico a la computadora como es actualmente el caso. La nueva Ley Antiterrorista de Dinamarca, promulgada en junio de 2002, parece dar a las fuerzas del orden el poder de instalar secretamente este tipo de software espa en las computadoras de los sospechosos de haber cometido un delito.303

Vea EPIC y Privacy International, Privacy and Human Rights: An International Survey of Privacy Laws & Developments 60 (EPIC 2006). 300 Vea PHR 2005, supra, 62-63. 301 United States contra Scarfo, 180 F. Supp. 2d 572 (D.N.J. 2001). Vase en general la pgina web de EPIC sobre Scarfo <http://epic.org/crypto/scarfo.html>. 302 Elinor Mills Abreu, "FBI Confirms 'Magic Lantern' Project Exists," Reuters, 12 de diciembre de 2001. 303 Ley No. 378, 6 de junio de 2002.
299
71
Datos de Transacciones y de Ubicacin

A medida que surgen nuevas tecnologas de telecomunicaciones, muchos pases estn adaptando las leyes de vigilancia existentes para abordar la interceptacin de comunicaciones en redes y comunicaciones mviles. Estas leyes actualizadas plantean nuevas amenazas a la privacidad en muchos pases debido a que los gobiernos a menudo simplemente aplican los viejos estndares a las nuevas tecnologas sin analizar cmo la tecnologa ha cambiado la naturaleza y la sensibilidad de la informacin. Es crucial para la proteccin de la privacidad y de los derechos humanos que a los datos de transacciones, creados por las nuevas tecnologas, se les d una mayor proteccin a travs de la ley, que respecto a los tradicionales registros de llamadas telefnicas y otra informacin de transacciones que se hallan en los antiguos sistemas. En el sistema tradicional de telefona, los datos de transacciones normalmente tomaban la forma de nmeros telefnicos o de identificadores telefnicos, los medidores de llamadas (p. ej., la duracin de la llamada, la hora y la fecha), pases involucrados, y tipos de servicios utilizados. Estos datos son normalmente recolectados y procesados por las compaas telefnicas con los propsitos de facturacin y de eficiencia de red (p. ej., correccin de desperfectos). Al tiempo que estos datos son almacenados por las compaas telefnicas, stos son disponibles a las autoridades encargadas de hacer cumplir la ley. El contenido de las comunicaciones, es decir, las conversaciones, no son almacenadas de manera rutinaria. En consecuencia los obstculos para el acceso de los organismos encargados de hacer cumplir la ley a estos datos fueron mnimos: los datos de trfico estaban disponibles, legalmente eran menos sensibles y accesibles con requerimientos mnimos en cuanto a la autorizacin y a la supervisin. Los contenidos de las comunicaciones fueron tratados como ms sensibles, y ms invasivos, y ms difciles de recolectar, de esta manera normalmente requeran mayores mecanismos de autorizacin y supervisin. Sin embargo, diferentes infraestructuras de comunicaciones generaron diferentes formas de datos de transacciones. Cuando un usuario navega en la red, este puede visitar docenas de sitios en slo unos cuantos minutos y revelar muchos datos sobre su situacin personal y sus intereses. Entre ellos sus intereses mdicos, financieros, sociales y otra informacin personal altamente sensible. Tal como el Consejo de Europa reconoce en su Informe Aclaratorio de la Convencin sobre la Ciberdelincuencia: La recoleccin de estos datos puede, en algunas ocasiones, permitir la compilacin del perfil de los intereses de la persona, sus asociados y su contexto social. Por consiguiente las Partes deben tomar en cuenta tales consideraciones cuando establezcan las apropiadas salvaguardas y los prerrequisitos legales para llevar a cabo tales medidas.304 La naturaleza detallada y potencialmente sensible de los datos los hace ms cercanos a los contenidos de las comunicaciones que a los registros de llamadas.305
Conservacin de Datos
Una nueva tcnica de vigilancia de las comunicaciones involucra la conservacin de los registros de informacin de las personas que no son sospechosas de delitos y que estn

Consejo de Europa Convencin sobre Ciberdelincuencia (ETS no: 185), abierto para su firma el 8 de noviembre de 2001. 305 Vea PHR 2005, supra.
304
72
fuera del contexto de cualquier investigacin penal o fin comercial.306 El 30 de mayo de 2002, el Parlamento Europeo vot la Directiva sobre la Privacidad y las Comunicaciones Electrnicas de la Unin Europea.307 En una notable vuelta de tuerca de la oposicin original a la conservacin de datos, los miembros votaron para permitir a cada uno de los gobiernos de la UE a promulgar leyes para conservar datos de trfico y de ubicacin de todas las personas que utilicen telfonos mviles, el servicio de mensajes cortos (SMS, en ingls), telefona fija, faxes, correos electrnicos, canales de conversacin, Internet, o cualquier otro aparato de comunicacin electrnica, para comunicarse. La nueva Directiva revoca la Directiva de Privacidad de las Telecomunicaciones 1997 al permitir explcitamente a los pases de la Unin Europea a forzar a los proveedores de servicios de Internet y a las compaas telecomunicaciones a grabar, catalogar y almacenar los datos de comunicaciones de sus subscriptores.308 En marzo de 2006, la Unin Europea modific la Directiva sobre la Privacidad y las Comunicaciones Electrnicas del 2002 aprobando una Directiva sobre la Conservacin Obligatoria de Datos de Trfico de Comunicaciones.309 La nueva Directiva exige a los Estados Miembros a requerir a los proveedores de comunicaciones a conservar los datos de comunicaciones por un periodo entre 6 meses y 2 aos. Los Estados Miembros tienen plazo hasta septiembre de 2007 para trasladar las disposiciones de la Directiva en sus legislaciones nacionales; sin embargo, est disponible una postergacin de 18 meses adicionales, hasta marzo de 2009. Diecisis de los 25 Estados Miembros de la UE han declarado que postergarn la implementacin de la conservacin de datos del trfico de datos de Internet por el periodo adicional.310 La aprobacin de esta Directiva ha sido altamente controversial. Un significativo movimiento pblico contra la conservacin de datos se ha formado, con algunas miles de personas asistiendo a demostraciones y cerca de 10,000 personas declarando que presentar una demanda ante el Tribunal Constitucional de Alemania.311 La Digital Rights Ireland present una demanda al gobierno de la UE en julio de 2006. El caso cuestiona la base legal para la Directiva de Conservacin de Datos, alegando que ste es un asunto vinculado a la justicia penal y como tal la medida apropiada hubiera sido una Decisin Marco al amparo del tercer pilar.312 Europa no est sola. Australia ha propuesto un cdigo de prctica para que las ISP conserven datos de trfico de forma voluntaria.313 Argentina ha aprobado una ley solicitando la retencin de datos de trfico por 10 aos.314 Otros pases tambin estn demandando la conservacin de los detalles de los subscriptores, y estn impidiendo el

Vea la pgina de EPIC sobre Conservacin de Datos <http://epic.org/privacy/intl/data_retention.html>. Directiva 2002/58/CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas (Directiva sobre la privacidad y las comunicaciones electrnicas) <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:ES:PDF>. 308 Id. en el Articulo 15 (1). 309 Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico de comunicaciones y por lo que se modifica la Directiva 2002/58/CE, disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>. 310 Id. 311 Data Retention is No Solution <http://www.dataretentionisnosolution.com/>. 312 Digital Rights Ireland Data Retention <http://www.digitalrights.ie/2006/07/29/dri-challenge-to-dataretention/>. 313 Electronic Frontiers Australia, "Big Brother ISP Code Condemned," 19 de agosto de 2003. 314 Pablo Palazzi, Terrorism Laws in Latin America, Privacy International, septiembre 2004.
307 306
73
acceso annimo a Internet a travs de la peticin de cedulas de identidad en los cibercafs,315 mientras que otros estn prohibiendo el uso annimo de telefona mvil.
Ciberdelincuencia: Iniciativas Internacionales en la Armonizacin de la Vigilancia

Un esfuerzo vinculado al aumento del control del gobierno sobre Internet y la promocin de la vigilancia est tambin siendo conducido en el nombre de la prevencin de la "ciberdelincuencia," la "guerra de la informacin" o la proteccin de "infraestructura crtica." Bajo estos esfuerzos, las propuestas para incrementar la vigilancia de las comunicaciones y de las actividades de los usuarios de Internet estn siendo introducidas como una manera de impedir a intrusos de computadoras el atacar sistemas y el detener la comisin de otros crmenes tales como las violaciones de la propiedad intelectual. Los organismos internacionales a la cabeza de estas iniciativas son el Consejo de Europa y el G-8, al tiempo que tambin ha habido alguna actividad dentro de la Unin Europea.316 Los Estados Unidos entre bastidores han estado muy activos en el desarrollo y la promocin de estos esfuerzos.317 Despus de reunirse por aos a puertas cerradas, estas organizaciones finalmente, en el 2000, hicieron propuestas pblicas que pondran restricciones en la privacidad y el anonimato en lnea en nombre de la prevencin de la ciberdelincuencia.
Consejo de Europa
El Consejo de Europa (CoE, en ingls) es una organizacin intergubernamental formada en 1949 por pases Europeos Occidentales. Actualmente tiene 45 miembros. Su rol principal es "reforzar la democracia, los derechos humanos y el imperio de la ley a travs de sus Estados Miembros." Su descripcin tambin considera que "acta como un foro para examinar una gama de problemas sociales, tales como la exclusin social, la intolerancia, la integracin de los inmigrantes, la amenaza a la vida privada por parte de nuevas tecnologas, asuntos de biotica, terrorismo, trfico de drogas y actividades criminales." El 8 de septiembre de 1995, la CoE aprob una recomendacin318 para ampliar el acceso de las fuerzas del orden a las computadoras en los Estados Miembros. En 1997, la CoE

Privacy International & the GreenNet Educational Trust, Silenced: An International Report on Censorship and Control on the Internet, septiembre 2003. 316 Dr. Paul Norman, "Policing 'High Tech Crime' in the Global Context: the Role of Transnational Policy Networks," disponible en <http://eprints.libr.port.ac.uk/archive/00000063/01/PN_2001_Cyber_Crime_Chapter.pdf>. 317 Para detalles vea <http://www.pi.greennet.org.uk/issues/cybercrime/>. 318 La Recomendacin de Comit de Ministros de los Estados Miembros Referente a los Problemas de la Ley de Procedimientos Criminales Vinculados con la Informacin estipula que: "Sujeto a los privilegios legales o a la proteccin, las autoridades que investigan deben tener el poder de ordenar a las personas que tengan los datos en un sistema de computo bajo su control a proporcionar toda la informacin necesaria para permitir el acceso a un sistemas de computo y a los datos contenidos. La ley de procedimiento penal debe asegurar que una orden similar puede ser dada a otras personas que tiene conocimiento acerca del funcionamiento del sistema de cmputo o de las medidas aplicadas para obtener los datos contenidos. Obligaciones especificas deben imponerse a los operadores de redes pblicas o privadas que ofrezcan servicios de telecomunicaciones al pblico para aprovechar todas las medidas tcnicas necesarias que posibiliten la interceptacin de las telecomunicaciones por parte de las autoridades investigadoras. Se deben considerar las medidas necesarias para minimizar los efectos negativos del uso del cifrado en la investigacin de infracciones penales, sin afectar su uso legitimo ms all de lo estrictamente necesario."
315
74
form un Comit de Expertos en Ciberdelincuencia (PC-CY). El grupo se reuni en secreto por muchos aos elaborando un tratado internacional, y en abril de 2000, publicaron el "Borrador de la Convencin sobre Ciberdelincuencia, versin 19." Varias versiones posteriores fueron publicadas hasta la versin 27 divulgada en junio de 2001. La convencin tiene tres partes. La Parte I propone la criminalizacin de las actividades en lnea tales como la intromisin en datos y sistemas, la evasin de los derechos de autor, la distribucin de pornografa infantil y el fraude informtico. La Parte II requiere a los estados que la ratifiquen, el aprobar leyes para incrementar las capacidades de vigilancia domstica para atender nuevas tecnologas. Esto incluye la potestad para interceptar comunicaciones en Internet, obtener acceso a datos de trfico en tiempo real o a travs de rdenes de proteccin dirigidas a las ISPs y el acceso a datos protegidos o "privilegiados." La parte final del tratado requiere a todos los Estados a cooperar en las investigaciones criminales. De modo que por ejemplo, el pas A pueda solicitar al pas B el utilizar cualquiera de las ya mencionadas potestades de investigacin dentro del pas B para un crimen que est siendo investigado en el pas A. No existe ningn requerimiento para que el crimen en el pas A realmente califique como crimen en el pas B, es decir, no hay ninguna necesidad de doble criminalidad. En este sentido, la convencin es el mayor rgimen de asistencia legal mutua en asuntos criminales jams creado. El texto borrador de la convencin fue duramente criticado por una amplia variedad de partes interesadas, entre ellas grupos de privacidad y de libertades civiles por su promocin a la vigilancia y la falta de controles tales como la necesidad de una autorizacin o de una doble criminalidad;319 destacados expertos en seguridad por las previamente articuladas limitaciones sobre seguridad de software;320 y la industria por los costos de implementacin de los requerimientos, y los retos que implicaran responder a las peticiones de 43 pases diferentes. El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 ha expresado su preocupacin respecto de las implicaciones de la convencin sobre la privacidad y los derechos humanos, concluyendo que: El Grupo de Trabajo considera pues, que es necesario aclarar el texto de los artculos del proyecto de convenio porque su redaccin resulta con frecuencia demasiado vaga y confusa, y podra no constituir fundamento suficiente para las leyes y medidas vinculantes destinadas a limitar legalmente los derechos y libertades fundamentales.321 El texto del convenio fue finalizado en septiembre de 2001. Despus de los ataques terroristas en los Estados Unidos de Amrica, el convenio fue dispuesto como un medio para combatir el terrorismo. Una ceremonia de firma se llev a cabo en noviembre de 2001 donde fue firmada por 30 pases y posteriormente firmada por otros ocho. La convencin entr en vigor el 7 de enero de 2004, una vez que fue ratificada por cinco estados signatarios, todos miembros del Consejo de Europa.322 La convencin fue

Vea, p.ej., Global Internet Liberty Campaign (GILC) Member Letter on Council of Europe Convention on Cyber-Crime, October 18, 2000 <http://gilc.org/privacy/coe-letter-1200.html>; GILC Member Letter on Council of Europe Convention on Cyber-Crime Version 24.2, 12 de diciembre de 2000 320 Statement of Concerns, 20 de julio de 2000. Disponible en <http://spaf.cerias.purdue.edu/coe/> [visitado en 2007]. 321 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 4/2001 acerca del proyecto de convenio del Consejo de Europa sobre el ciberdelito, 22 de marzo de, 2001. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2001/wp41es.pdf>. 322 Consejo de Europa, Convenio sobre Ciberdelito, Estado al: 18/06/2004, disponible en <http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG>.
319
75
originalmente abierta a los miembros de la CoE y a pases que estuvieron involucrados en su desarrollo, entre ellos Canad, Japn, Sudfrica y los Estados Unidos de Amrica. Ahora que est en vigor, otros pases fuera de la CoE como China y Singapur pueden tambin pedir unirse.
Organizacin para la Cooperacin y el Desarrollo Econmicos

A diferencia de muchas de estas iniciativas orientadas hacia el cumplimiento de las leyes, la Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE) se ha inclinado por una visin ms amplia de los temas de seguridad. En 1992, la OCDE public las Guas para la Seguridad de los Sistemas de Informacin.323 Conteniendo nueve principios, las Guas acentan la importancia de asegurar la transparencia, la proporcionalidad y otros valores democrticos cuando se establezcan medidas, prcticas y procedimientos para la seguridad de los sistemas de informacin. En el otoo de 2001, el Grupo de Trabajo de la OCDE sobre Seguridad de la Informacin y Privacidad (WPISP, en ingls) estableci un grupo de expertos para conducir el estudio de estas guas (tal estudio debe ocurrir cada cinco aos). El grupo de expertos se reuni cuatro veces entre diciembre de 2001 y junio de 2002 y recomend muchos cambios. El Consejo de la OCDE adopt las Guas de Seguridad324 el 25 de julio de 2002 y se mantienen en vigor.325 Aunque las guas han sido sustancialmente revisadas, la necesidad de asegurar valores democrticos claves, tales como la apertura, la transparencia y la proteccin de la informacin personal, son no obstante reiteradas en los principios. La OCDE tambin ha desarrollado un sitio en Internet "Cultura de la Seguridad"326 lanzado despus del "Foro Global de la OCDE sobre Sistemas de Informacin y Seguridad de Redes: Hacia una Cultura Mundial de la Seguridad" llevada a cabo en Oslo, Noruega en octubre de 2003. El sitio proporciona a los gobiernos miembros y no miembros una herramienta de intercambio de informacin internacional sobre iniciativas para implementar las Guas y sirve como un portal para importantes pginas web y como un primer paso hacia la creacin de una cultura mundial de la seguridad. Los pases miembros de la OCDE adoptaron un plan de implementacin327 y lo difundieron pblicamente en enero de 2003. La OCDE tambin hizo una encuesta entre sus pases miembros en julio de 2003, analizando las medidas tomadas desde la adopcin de las Guas de Seguridad en julio de 2002 en concordancia con el Plan de Implementacin de la OCDE. Los resultados de la encuesta328 fueron publicados el 07 de junio de 2004.

OCDE Guas para la Seguridad de los Sistemas de Informacin, adoptado en Noviembre 1992, disponible en <http://www.oecd.org/document/19/0,2340,en_2649_34255_1815059_1_1_1_1,00.html>. 324 OCDE Guas para la Seguridad de los Sistemas de Informacin y Redes: Hacia una Cultura de Seguridad, adoptado en julio 2002, disponible en <http://www.oecd.org/document/42/0,2340,en_2649_34255_15582250_1_1_1_1,00.html>. 325 OCDE Guas para la Seguridad de los Sistemas de Informacin y Redes: Hacia una Cultura de Seguridad, Preguntas y Respuestas, disponible en <http://www.oecd.org/dataoecd/27/6/2494779.pdf>. 326 Pgina web de la cultura de Seguridad, disponible en <http://www.oecd.org/site/0,3407,en_21571361_36139259_1_1_1_1_1,00.html>. 327 "Implementation Plan for the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security," adoptado en octubre de 2003, disponible en <http://www.oecd.org/dataoecd/23/11/31670189.pdf>. 328 "Summary of Responses to the Survey on the Implementation of the OECD Guidelines for the Security of Information Systems and Networks: Towards A Culture of Security," junio 2004, disponible en <http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/ICCP/REG%282003%2 98/FINAL&docLanguage=En>.
323
76
El 12 de junio de 2007 el Consejo de la OCDE adopt una nueva Recomendacin para un marco de cooperacin en el cumplimiento de las normas de privacidad.329 El marco refleja el compromiso de parte de los gobiernos de mejorar sus marcos domsticos par el cumplimiento de las leyes de privacidad para permitir a sus autoridades mejores elementos para cooperar con autoridades extranjeras, as como proporcionar asistencia mutua entre ellas en el cumplimiento de las leyes de privacidad. Las recomendaciones especficas incluyen el desarrollo de un mecanismo de ejecucin de cooperacin internacional y herramientas de asistencia mutua tales como notificaciones, remisin de denuncias, asistencia en investigaciones e intercambio de informacin, sujetos a salvaguardas apropiadas. Las recomendaciones tambin hacen un llamado al debate y la colaboracin entre los grupos de inters e instruye a la comisin de la OCDE pertinente a monitorear e informar sobre la implementacin de estas medidas.
Seguridad Nacional, Agencias de Inteligencia y el Sistema Echelon

En los ltimos aos, se ha dado una considerable atencin por parte de la agencias de inteligencia a una masiva vigilancia de comunicaciones internacionales y nacionales. Las investigaciones han sido abiertas y las audiencias se han llevado a cabo en los parlamentos alrededor del mundo acerca del sistema "Echelon" coordinado por los Estados Unidos de Amrica. Inmediatamente despus de la Segunda Guerra Mundial, en 1947, los gobiernos de los Estados Unidos de Amrica, el Reino Unido, Canad, Australia y Nueva Zelanda firmaron un pacto de Seguridad Nacional conocido como el "Cuadripartito"; o acuerdo "Reino Unido-Estados Unidos" (UKUSA, en ingls). Su intencin era sellar un acuerdo de inteligencia en el cual se cre un objetivo comn de seguridad nacional. Bajo los trminos del acuerdo, las cinco naciones se reparten la tierra en cinco esferas de influencia, y a cada pas le fue asignado un objetivo particular de inteligencia de seales (SIGINT, en ingls). El Acuerdo UKUSA estandariz la terminologa, los cdigos de palabras, los procedimientos de manejo de la interceptacin, acuerdos de cooperacin, el compartir informacin, autorizaciones de Inteligencia de Asuntos Sensibles por Compartimientos (SCI, en ingls) y acceso a instalaciones. Otro componente importante del acuerdo fue el intercambio de datos y de personal. La ms fuerte alianza dentro de la relacin UKUSA es aquella entre la Agencia de Seguridad Nacional (NSA, en ingls) de Estados Unidos de Amrica, y la Oficina Central de Comunicaciones del Gobierno (GCHQ, en ingls) de Gran Bretaa. La NSA opera bajo el mandato presidencial desde 1952, la Directiva de Inteligencia del Consejo Nacional de Seguridad (NSCID) Nmero 6, para espiar en las redes de comunicaciones del mundo con propsitos de inteligencia y militares. Al hacerlo, ha creado una vasta operacin de espionaje que puede alcanzar los sistemas de telecomunicaciones de todos los pases de la tierra. Sus operaciones son tan secretas que esta actividad, fuera de los Estados Unidos de Amrica, ocurre con poca o ninguna supervisin legislativa o judicial. La instalacin ms importante de la alianza est en Menwith Hill, una base de la Fuerza Area Real con sede en el norte de Inglaterra. Con ms de dos docenas de radares domos y una vasta instalacin para operacin de computadoras, la base tiene capacidad para espiar sobre vastos sectores del espectro de comunicaciones. Con la

OECD Recommendation on Cross-Border Privacy Law Enforcement, 12 de junio de 2007, disponible en <http://www.oecd.org/dataoecd/43/28/38770483.pdf>.
329
77
creacin del Intelsat y las telecomunicaciones digitales, Menwith Hill y otras estaciones desarrollaron la capacidad para espiar a gran escala sobre fax, telex y mensajes de voz soportados por satlite.330 El uso de Echelon teniendo como blanco las comunicaciones diplomticas fue destacado, como resultado de las revelaciones realizadas en 2003 por una empleada de la inteligencia britnica, antiguos funcionarios de las Naciones Unidas, y un antiguo Ministro del Gabinete Britnico, relativas al espionaje de la estadounidense NSA y de la britnica GCHQ sobre las comunicaciones telefnicas y conversaciones privadas del Secretario General de la ONU Kofi Annan.331 Las conversaciones diplomticas de la ONU y de las misiones de sus pases miembros estn protegidos ante el espionaje por cuatro convenciones internacionales: la Declaracin Universal de los Derechos Humanos (Artculo12)332 la Convencin de Viena sobre Relaciones Diplomticas de 1961 (Artculo 27),333 el Acuerdo de Sede Central de 1947 entre la ONU y los Estados Unidos de Amrica,334 y la Convencin sobre los Privilegios y las Inmunidades de la ONU de 1946 (Artculo 2).335

Vea PHR 2005, supra, 76-78. La controversia empez cuando repentinamente el gobierno britnico abandon su caso del Acta de Secretos Oficiales contra Katharine Gun, una lingista china trabajando para la GCHQ en Cheltenham, Reino Unido. Gun fue acusada de filtrar a los medios britnicos un memorando TOP SECRET/COMINT de la NSA a la GCHQ pidiendo su ayuda en la interceptacin de las comunicaciones de los miembros no permanentes del Consejo de Seguridad de la ONU para determinar sus intenciones en la Resolucin del Consejo de Seguridad autorizando la guerra contra Irak. Despus de que el caso contra Gun fuera abandonado, el antiguo Ministro de Desarrollo Internacional de Gran Bretaa Clare Short revel que se le mostr una trascripcin de una conversacin confidencial del Secretario General de la ONU Kofi Annan. Se inform que las comunicaciones telefnicas y las conversaciones privadas fueron espiadas por la NSA y la GCHQ. De acuerdo con Andrew Wilkie, antiguo funcionario de la inteligencia australiana, el espionaje a la ONU fue apoyada por Australia, por medio del "acuerdo de los cinco ojos," una referencia a Echelon y al Acuerdo UKUSA. (Mark Forbes, "Australia 'Party to Bugging of UN,'" The Age (Melbourne), 19 de junio de 2004.) A partir de las revelaciones de Short, muchos otros antiguos funcionarios de la ONU han salido al frente para describir espionajes similares por parte de los britnicos y de los estadounidenses, los cuales comparten seales de inteligencia desde hace dcadas, esta relacin es conocida como el Acuerdo UK-USA, junto con Canad, Australia, y Nueva Zelanda. El antiguo Secretario General de la ONU Boutros Boutros Ghali, los inspectores de armas de la ONU Hans Blix, Rolf Ekeus, y Richard Butler, el Comisionado de Derechos Humanos de la ONU Mary Robinson, el antiguo embajador mexicano ante la ONU Aguilar Zinser, el actual embajador mexicano ante la ONU Enrique Berruga, la ministro de Relaciones Exteriores de Chile Soledad Alvear, el embajador chileno ante Gran Bretaa Mariano Fernandez, y el antiguo embajador chileno ante la ONU Juan Gabriel Valdes, todos ellos han hablado sobre el espionaje a ellos y a sus pases por los estadounidenses y los britnicos. Vase en general <http://epic.org/privacy/wiretap/diplomatic.html>. 332 "Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputacin. Toda persona tiene derecho a la proteccin de la ley contra tales injerencias o ataques." 333 "1. El Estado receptor permitir y proteger la libre comunicacin de la misin para todos los fines oficiales. Para comunicarse con el gobierno y con las dems misiones y consulados del Estado acreditante, dondequiera que se radiquen, la misin podr emplear todos los medios de comunicacin adecuados, entre ellos los correos diplomticos y los mensajes en clave o en cifra. Sin embargo, nicamente con el consentimiento del Estado receptor podr la misin instalar y utilizar una emisora de radio; 2. La correspondencia oficial de la misin es inviolable. Por correspondencia oficial se entiende toda correspondencia concerniente a la misin y a sus funciones." 334 La Seccin 9 estipula que: "La zona de la sede central ser inviolable." 335 "Los locales de las Naciones Unidas sern inviolables. Los haberes y bienes de las Naciones Unidas, dondequiera que se encuentren y en poder de quienquiera que sea, gozarn de inmunidad contra allanamiento, requisicin, confiscacin y expropiacin y contra toda otra forma de interferencia, ya sea de carcter ejecutivo, administrativo, judicial o legislativo."
331 330
78
Autenticacin y Revelacin de la Identidad

La autenticacin es el proceso de verificacin de un afirmacin que se hace relativa a una identidad, una atributo perteneciente a dicha identidad, (p. ej. "esta persona es ciudadana de los Estados Unidos de Amrica"), o un grupo de atributos. Tradicionalmente, la gran demanda para soluciones de autenticacin seguras ha provenido de empresas que buscaban satisfacer sus propias necesidades de seguridad al interior de sus organizaciones, as como de organizaciones gubernamentales en contextos donde se crea que los intereses de la seguridad nacional estaban en juego. En los ltimos aos, la demanda por (y la adopcin de) soluciones de autenticacin segura han estado marcadamente en aumento en todos los otros tipos de contexto que afectan directamente la privacidad de los individuos en una escala inimaginable hace dos dcadas. Mucho de esto es provocado por la creciente popularidad de Internet y de las redes de comunicaciones mviles, as como del rpido incremento en la cantidad de PCs y de dispositivos de informacin tales como telfonos mviles con capacidades Web y las computadoras porttiles. A medida que nuevas arquitecturas de autenticacin estn siendo desarrolladas (ya sea de jure, de facto, y por estndares tcnicos) y adoptadas para una siempre creciente cantidad de aplicaciones, la privacidad de los individuos est siendo erosionada a un ritmo impresionante, a menudo con poca o ninguna justificacin. Los nuevos mecanismos de comunicacin electrnica y de transaccin automticamente capturan y registran identidades en sistemas de computadoras centrales sin que los individuos si quiera se percaten de ello. A medida que ms y ms informacin personal es recolectada y registrada en los sistemas centrales, las polticas y las tradicionales salvaguardas de seguridad para prevenir la filtracin y el abuso rpidamente se estn volviendo ineficaces. Mucha de esta explosiva tensin entre, la (percibida o real) necesidad de autenticacin por un lado y, las demandas de privacidad por el otro, pueden ser atribuidas a una falsa creencia muy extendida: a saber, que la identificacin es lo mismo que autenticacin, y que la privacidad y la autenticacin son objetivos opuestos. Esta errnea creencia es perpetuada por todo tipo de influyentes organizaciones normativas. La Organizacin Internacional para la Estandarizacin (ISO, en ingls)336, por ejemplo, define autenticacin como "la condicin de garanta de la afirmacin de identidad de una entidad," y el Grupo de Trabajo de Ingeniera de Internet337 (IETF, en ingls) define la autenticacin como "el proceso de verificacin de una identidad afirmada por o para una entidad del sistema." Asimismo, a nivel poltico, la autenticacin y la identidad a menudo son errneamente equiparadas. El hecho real es que la autenticacin es una nocin mucho ms amplia que la identificacin. En muchos contextos, la autenticacin no requiere identificacin. Es ms, las organizaciones a menudo no estn interesadas en la identidad per se de la persona con la cual estn tratando, sino slo la confirmacin de contactos previos de dicha persona, la afiliacin de la persona a un grupo, la autenticidad de los datos personales de esa persona, los derechos o privilegios de esa persona, y as

Glossary of IT Security Terminology, SC 27 Standing Document 6 (SC 27 N 2776), 31 de marzo de 2002. 337 Internet Security Glossary, RFC 2828, IETF Network Working Group, Mayo 2000. Vase <http://www.ietf.org/rfc/rfc2828.txt>.
336
79
sucesivamente. Por ejemplo, para autenticar si un usuario est permitido de comprar alcohol, todo lo que necesita ser autenticado es que el usuario tiene al menos 21 aos de edad. En este ejemplo, la identificacin de la persona slo servir como un medio indirecto para lograr la autenticacin que es de inters ("mayor de 21 aos de edad"). En el "viejo" mundo, los individuos podan fcilmente lograr acceder a servicios sin revelar su identidad, ya sea mostrando sus privilegios o derechos o proporcionando a los proveedores de servicios identificadores "adecuados al contexto", tales como un nmero de empleado o un nmero del seguro social. Mientras que tales identificadores sirven para identificar a los usuarios, estos slo lo hacen dentro de esferas especficas de actividad; las organizaciones no pueden utilizarlos para cruzar perfiles de usuarios entre esferas de actividad. Lamentablemente, la mayora de las tecnologas de autenticacin ms difundidas hoy en da (tales como contraseas, caractersticas biomtricas, Kerberos y PKI) bsicamente causan ineludibles identificaciones a travs de identificadores que son mundialmente nicos. Estas tecnologas de autenticacin basadas en la identidad fueron inventadas hace muchas dcadas, cuando las redes abiertas existan difcilmente, ni qu decir de organizaciones buscando compartir informacin personal en forma segura por medio de esas redes. Consecuentemente, la nica proteccin de privacidad que los diseadores de tcnicas tradicionales de autenticacin tenan en mente fue la proteccin ante las interceptaciones y otros intrusos no autorizados. Sin embargo, las tecnologas tradicionales de autenticacin no son apropiadas para tratar las crecientes necesidades de autenticacin en estos das y pocas, ya que ellas permiten a las organizaciones rastrear y hacer cruces de perfiles de usuarios sobre la base de identificadores mundiales nicos (tales como claves cifradas) que son ineludiblemente asignadas a ellos. Una tendencia igualmente preocupante es la centralizacin de los poderes de autenticacin de diferentes organizaciones dentro de una sola organizacin confiable que acta en representacin de todas las organizaciones constituyentes. En su arquitectura original de Passport338 por ejemplo, Microsoft confi en la centralizacin de todos los datos recolectados de los visitantes de pginas web con objeto de proporcionar servicios de autenticacin en nombre de un nmero rpidamente creciente de sitios web. Microsoft abandon esta arquitectura luego de demandas de privacidad por parte de grupos de consumidores y funcionarios de la UE,339 as como de una falta de adopcin por parte de los proveedores de servicios quienes fueron altamente reticentes a confiarles los datos de sus clientes. La arquitectura de autenticacin "federada" promovida por la Liberty Alliance340 (una alianza industrial de aproximadamente 160 industrias claves en una amplia gama de sectores, dirigidas por muchas compaas principales que fueron reticentes a delegar su autonoma a la iniciativa original del Passport de Microsoft) deja los datos personales en las organizaciones que los colectan, y permite la coexistencia de mltiples "crculos de confianza". Sin embargo, an esta arquitectura no hace nada para mejorar la privacidad de los usuarios: el poder de autenticacin (y por tanto el poder del control de acceso) permanece centralizado. Especficamente, cuando un proveedor de servicio trata con un usuario, este consulta en tiempo real a la central "proveedora de identidad" en su crculo de confianza; el proveedor de identidad simplemente devuelve una confirmacin de la autenticacin como validacin de la identidad afirmada del acceso solicitado, la

338 339
Mayor informacin disponible en <http://epic.org/privacy/consumer/microsoft/passport.html>. Id. 340 Mayor informacin disponible en <http://epic.org/privacy/authentication/projectliberty.html>.
80
cual es utilizada por el proveedor del servicio para su propio proceso de autorizacin. Aunque los usuarios puedan ser "seudnimos" dirigidos a los proveedores de servicios (en Liberty Alliance el proveedor de identidad asigna diferentes nombres de usuario al mismo usuario, uno por proveedor de servicio), estos no estn ciertamente vis--vis con las ms poderosas de las partes en esta arquitectura: el proveedor de identidades. Dentro de cada crculo de confianza, el proveedor de identidad puede hacer un seguimiento, ubicar y enlazar en tiempo real todas las interacciones entre los usuarios y las organizaciones. El proveedor de identidad puede incluso suplantar usuarios y falsamente negarles acceso a cualquier sitio. Mientras que tales enfoques de centralizacin de autenticacin puedan satisfacer las necesidades de las grandes empresas que desean hacer manejo de identidades relacionadas a empleados y a proveedores dentro de sus sucursales internas, ms all de este restringido contexto, el enfoque rpidamente se vuelve altamente problemtico con relacin a la privacidad. Este podra incluso estar en conflicto con la legislacin de privacidad. Si es adoptado a una escala gubernamental, las implicaciones de estas arquitecturas invasivas de la privacidad seran ciertamente sin precedentes. En un mundo electrnico, si al nivel tcnico (por medio del anlisis del flujo electrnico de datos) todos es inevitablemente identificable a travs de identificadores nicos globales, la legislacin sobre privacidad se vuelve virtualmente intrascendente; Cmo podra uno forzar a las organizaciones a no colectar informacin identificable cundo no pueden impedir que esta sea entregada a ellos? La nica salida del aparente conflicto entre la autenticacin y la privacidad es recurrir a tecnologas de autenticacin que tcnicamente separen la nocin de autenticacin de aquella de identificacin. Dos dcadas de investigacin en criptografa han demostrado que la autenticacin segura y la privacidad no son concesiones, sino que se refuerzan mutuamente cuando se implementan apropiadamente. Utilizando las tcnicas que estn enraizadas en la criptografa moderna tales como la Digital Credentials,341 es completamente posible el realizar una autenticacin segura sin necesariamente requerir la identificacin. Por ejemplo, la autenticacin basada en roles puede ser implementada de manera tal que el solicitante del acceso no pueda ser identificado De manera ms general, las tcnicas de autenticacin que preservan la identidad permiten a cada parte involucrada en el procesamiento electrnico y en el reenvo de informacin sensible en trminos de privacidad a retener de manera segura un control fino sobre la informacin, aun cuando la informacin es transmitida electrnicamente ms all de los cortafuegos de la corporacin y a travs de dominios organizacionales arbitrarios. En ningn punto de la cadena de informacin electrnica la transferencia de informacin de una parte a la siguiente permitir a ninguna de las partes saber ms de lo que el remitente expresamente permite. Esfuerzos internacionales de investigacin estn actualmente en curso para crear sistemas de autenticacin que preserven el anonimato, e incluyan el desarrollo de nuevas tecnologas que favorezcan la privacidad para ser utilizadas en tales programas.342 Estas tecnologas favorables a la privacidad permiten la separacin de

Stefan Brands, "Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy," MIT Press, Agosto 2000, con el prlogo del Prof. Ronald L. Rivest. Vase <http://www.credentica.com/the_mit_pressbook.html>. 342 Vea, p.ej., Carlisle Adams, "Delegation and Proxy Services in Digital Credential Environments," Presentado en el 7mo Taller Annual de Privacidad y Seguridad, "Your Identity Please: Identity Theft and Identity Management in the 21st Century," 2 de noviembre de 2006, disponible en <http://www.idtrail.org/files/cacrwkshpdigcred02nov06.pdf>; Stefan Brands, "Non-Intrusive Cross341
81
autenticacin e identificacin y estn siendo desplegadas en respuesta a vulnerabilidades de seguridad. Tales tecnologas pueden insertarse en metasistemas de identificacin, tales como el CardSpace de Microsoft.343 Mientras que la configuracin por defecto de CardSpace no cumple actualmente con estndares establecidos para la preservacin de la privacidad,344 este modelo debe ser estudiado en detalle cuando se consideren tecnologas de autenticacin.345 En junio de 2007, el Consejo de la OCDE aprob la Recomendacin alentando a los Estados Miembros a establecer enfoques compatibles, tecnolgicamente neutros para facilitar la autenticacin a travs de las fronteras. La Gua fija el contexto y la importancia de la autenticacin electrnica para el comercio electrnico, el gobierno electrnico y muchas otras interacciones sociales. Este dispone varios principios fundamentales y operacionales que constituyen un denominador comn para la interoperabilidad a travs de las jurisdicciones. Segn la OCDE, la autenticacin electrnica es un componente esencial de cualquier estrategia para proteger los sistemas y redes de informacin, datos financieros, informacin personal y otros activos del acceso no autorizado o del robo de identidad. La autenticacin electrnica es por tanto esencial para el establecimiento de una rendicin de cuentas en lnea.346 Cada vez que se implemente una nueva medida de autenticacin para un mecanismo de transaccin existente o nuevo, es imperativo que los diseadores y adoptantes analicen cunta informacin personalmente identificable es realmente necesaria de ser revelada para propsitos de autenticacin. Asumiendo que la revelacin de informacin es necesaria y proporcional con relacin a la naturaleza de la transaccin, entonces se debe buscar implementar las necesidades de seguridad utilizando las tecnologas de autenticacin que protejan la privacidad, en vez de recurrir a los enfoques basados en la ineludible identificacin.

Domain Digital Identity Management," Presentado en los Anales del 3er Taller Anual PKI R&D, Abril 2004, disponible en <http://www.idtrail.org/files/cross_domain_identity.pdf>; David Chaum, "SecretBallot Receipts: True Voter-Verifiable Elections," Presentado en la Serie de Seminarios ITL, "SecretBallot Receipts: True Voter-Verifiable Elections," National Institute of Standards & Technology, 19 de mayo de 2004; Paul Van Oorschot & S. Stubblebine, "Countering Identity Theft through Digital Uniqueness, Location Cross-Checking, and Funneling," Criptografa Financiera & Seguridad de Datos (2005), disponible en <http://fc05.ifca.ai/p03.pdf>. 343 Vea el Windows CardSPace <http://windows.microsoft.com/en-us/windows-vista/WindowsCardSpace>; vea tambin OpenCard <http://www.openscdp.org/ocf/>. 344 Stefan Brands, "User Centric Identity: Boon or Worst Nightmare to Privacy?," Identity Corner, 17 de noviembre de 2006, disponible en <http://idcrnr.wordpress.com/2006/11/17/user-centric-identity-boonor-worst-nightmare-to-privacy/>. 345 Vea en general, National Research Council, "Who Goes There? Authentication through the Lens of Privacy" (National Academies 2003). 346 OCDE Recomendacin sobre Autenticacin Electrnica y Orientacin para la Autenticacin electrnica, disponible en <http://www.oecd.org/document/7/0,3343,en_2649_34223_38909639_1_1_1_1,00.html>.
82
Registros Pblicos
En los ltimos aos los pases alrededor del mundo han dado grandes pasos en la provisin de acceso a los registros pblicos a sus ciudadanos como un medio de combatir el abuso de la autoridad gubernamental, la corrupcin y la promocin de la libertad de prensa. Actualmente, ms de 70 pases alrededor del mundo han adoptado leyes de transparencia gubernamental o de libertad de la informacin.347 Los registros pblicos presentan algunos de los ms difciles retos de privacidad. Por un lado, los registros pblicos pueden asistir a los individuos en asegurarse que un gobierno se mantiene transparente y responsable. Por otro lado, los registros pblicos pueden convertirse de una herramienta de fortalecimiento ciudadano a una que faculte a los gobiernos y negocios a rastrear a los ciudadanos.348 La Convencin de las Naciones Unidas contra la Corrupcin alienta a los pases a desarrollar medios para proveer de acceso a los registros pblicos y al mismo tiempo proteger la privacidad y los datos personales.349 De manera creciente, informacin personal est siendo recogida de los registros pblicos para crear perfiles detallados de individuos. Los registros pblicos pueden contener muchos tipos de informacin personal que es valiosa comercialmente. Entre ellas: nmeros de Seguridad Social, registros de nacimientos, informacin sobre arrestos, antecedentes civiles, antecedentes penales, direcciones, informacin de licencia de conducir, transacciones de venta de tierras, registros de participacin de activos, propiedad de corporaciones, estado civil, presencia de hijos, status laboral, e informacin de salud. A menudo, los individuos son obligados por ley a proporcionar informacin personal completa y fidedigna a las autoridades del gobierno, informacin que luego es colocada en los registros pblicos. Por ejemplo, con el fin de ejercer el derecho de matrimonio, en algunos estados una licencia pblicamente disponible debe ser llenada en un juzgado conteniendo los Nmeros de Seguridad Social de las personas. Las leyes de registros pblicos tambin son vitales para el cumplimiento de derechos de privacidad fundamentales tales como protegerse contra la creacin de bases de datos secretas, el cumplimiento del derecho a corregir informacin inexacta, y el saber cundo, dnde y cmo se utiliza la informacin obtenida de los ciudadanos. El advenimiento del acceso electrnico remoto a los sistemas de registros pblicos ha levantado el espectro de una ms vasta posibilidad de exploracin de datos y creacin de perfiles. La exploracin de bases de datos de registros pblicos pronto no requerir ms el tiempo y el dinero que implica el trasladarse a la localizacin fsica de los registros. Los analistas de datos sern capaces de acceder remotamente a los sistemas de registros pblicos y utilizarn software ampliamente difundido para recoger informacin personal. Esta recoleccin de informacin personal ya ha tenido un impacto sustancial en las personas.

Privacy International, Freedom of Information Around the World 2006 Report, 9 de septiembre de 2006, disponible en <https://www.privacyinternational.org/article/freedom-information-around-world2006-report>. 348 Daniel J. Solove, Access and Aggregation: Public Records, Privacy, and the Constitution, 86 Minnesota Law Review 6 (2002). 349 Convencin de las Naciones Unidas contra la Corrupcin, Artculo 10 Informacin Pblica, disponible en <http://www.mecon.gov.ar/basehome/informes/convencion_de_las_naciones_unidas_contra_la_corrupci on.pdf>.
347
83
La irrestricta recoleccin comercial de informacin de los registros pblicos ha permitido al gobierno de los Estados Unidos de Amrica obtener con facilidad expedientes detallados de ciudadanos.350 A travs de una alianza privada-publica, muchas compaas creadoras de perfiles hacen accesibles al gobierno expedientes de consumidores. Una compaa en particular, ChoicePoint,351 ha emergido como el lder en el suministro de informacin a las fuerzas del orden y a otras agencias gubernamentales.352 ChoicePoint mantiene pginas web personalizadas para agencias federales individuales para facilitar la venta de informacin de los registros pblicos a la polica.353 Como resultado de las peticiones iniciadas por EPIC bajo el amparo de la Ley de Libertad de Informacin (FOIA, en ingls), se descubri que ChoicePoint estaba vendiendo las bases de datos de cdulas de identidad nacionales de varios pases Latinoamericanos a la agencia encargada del cumplimiento de la ley en Inmigracin de los Estados Unidos de Amrica.354 A raz de esta revelacin, varios pases de Centroamrica y Sudamrica han iniciado investigaciones sobre la legalidad de esta transferencia de informacin.

Chris J. Hoofnagle, Big Brother's Little Helpers: How ChoicePoint and Other Commercial Data Brokers Collect, Process, and Package Your Data for Law Enforcement, University of North Carolina Journal of International Law & Commercial Regulation (Primavera 2004). 351 Vase ChoicePoint, disponible en <http://epic.org/privacy/choicepoint/>. 352 "If the FBI Hopes to Get the Goods on You, It May Ask ChoicePoint," Wall Street Journal, 13 de abril de 2001. 353 Vase ChoicePoint FBI; ChoicePoint DEA; ChoicePoint Government 354 Documentos disponibles en <http://epic.org/privacy/publicrecords/inschoicepoint.pdf>.
350
84
C. Privacidad y Derechos Humanos en Europa 2010

Parte Introductoria
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for Media and Communications Studies (CMCS), se complacen en presentar la investigacin titulada "Privacidad y Derechos Humanos en Europa (EPHR) 2010", financiada por el Programa Especial "Derechos Fundamentales y Ciudadana", de la Comisin Europea (2007-2013).
85
86
ACERCA DEL EPHR

EPHR investiga el panorama europeo compuesto por las legislaciones y regulaciones nacionales de privacidad/proteccin de datos as como de cualquier otra ley o acontecimiento reciente con algn impacto en la privacidad. La investigacin est compuesta por 33 informes especficos, una vista panormica que presenta un anlisis comparativo de los aspectos legales y polticos de los principales tpicos vinculados a la privacidad y una calificacin de la privacidad para todos los pases investigados. Privacy International ha conducido un anlisis de los informes nacionales. Nuestro equipo de investigacin ha obtenido informacin adicional de otras fuentes para proporcionar la informacin resumida, que se presenta a continuacin, para cada pas, registrando los acontecimientos principales e identificando el estado de los eventos.
Este proyecto fue financiado con el apoyo del Programa de Derechos Fundamentales y Ciudadana de la Comisin Europea.
87
HALLAZGOS PRINCIPALES
Europa es el lder mundial en derechos de privacidad. Pero contar con un liderazgo como ste, implica preocuparse por el futuro. La Directiva de Proteccin de Datos ha sido implantada en todo los Estados Miembros de la Unin Europea e incluso ms all, pero todava persisten ciertas inconsistencias. La armonizacin de la vigilancia con la que se amenaz una vez, ya est ahora en retirada. Sin embargo, hay tantas lagunas y exenciones que cada vez es ms problemtico tener una comprensin completa de las situaciones de privacidad en los pases de Europa. El disfraz de la "seguridad nacional" engloba muchas prcticas, minimiza las autorizaciones de salvaguardas y previene las omisiones. Cul es la primera conclusin? La situacin est entreverada. Y para un lder mundial, esto es poco convincente e inaceptable.
Lo bueno
Las democracias europeas gozan, en general, de buena salud, contando la mayora de ellas con protecciones constitucionales. Las polticas de vigilancia han enfrentado obstculos en toda Europa, entre ellos desafos polticos, problemas de implementacin de polticas y la resistencia de parte de los reguladores, la sociedad civil, el pblico en general y la industria. Los reguladores europeos estn recibiendo cada vez ms quejas, lo cual interpretamos como un signo de un incremento en la toma de conciencia sobre los problemas de la privacidad y sobre los deberes de los reguladores. Se crearon los requisitos de notificacin para las personas puestas bajo vigilancia secreta (Luxemburgo, Suiza, Repblica Checa).
Lo heroico
Grecia: en 2007 hubo una renuncia colectiva por parte del regulador en protesta contra la insistencia del gobierno en replantear el sistema de vigilancia de las Olimpiadas. Alemania: grupos organizaron una campaa contra la retencin de datos de comunicaciones en la cual 34,000 personas presentaron el caso ante el Tribunal Constitucional contra la ley. Pases Bajos: la poltica obligatoria sobre medidores inteligentes tuvo que ser eliminada ante la oposicin a esta. Reino Unido: las ONGs organizaron campaas polticas contra las polticas de vigilancia del anterior gobierno, que resultaron en la derogacin de la poltica sobre temas que iban desde documentos de identificacin y pasaportes biomtricos, hasta prcticas vinculadas al ADN y grandes bases de datos.
Lo vergonzoso
Muchas propuestas implementacin. ambiciosas de vigilancia han fracasado en su
88
La utilizacin de pasaportes biomtricos y de retencin de datos est fragmentada. Los recortes financieros han afectado la capacidad de los reguladores para hacer su trabajo, p.ej. en Letonia, Rumania. Las autorizaciones ministeriales todava existen en demasiados pases, entre estos, Irlanda, Malta, Reino Unido. El acceso a datos financieros est en aumento, p.ej. en Blgica, Croacia, Repblica Checa, Francia, Alemania, Grecia, Italia, Noruega, Polonia, Eslovenia. Mecanismos de supervisin fallidos, p.ej. la renuncia del comisionado sueco en protesta por la vigilancia encubierta.
Lo malo
Incapacidad para crear salvaguardas en procesos para tener acceso a informacin sobre nuevos servicios p.ej. en Francia, Alemania y Suiza se est buscando tener poderes para conducir bsquedas secretas en computadoras; ambiguos poderes, en Irlanda, para la intercepcin sin orden judicial de comunicaciones por Voz sobre Protocolo de Internet (VoIP, en ingls); la creacin de "accesos no documentados" en los sistemas en Italia; y las "cajas negras" instaladas en los Proveedores de Servicios de Internet (ISPs, en ingls) de Bulgaria. Francia: intent de ignorar las propuestas de enmienda constitucional para incluir un derecho constitucional a la privacidad de manera explcita. Sistemas de e-Salud con fallas en la seguridad y/o registros centralizados (Francia, Alemania, Italia, Pases Bajos). Surgimiento de nuevos registros biomtricos y bases de datos y ms en proceso de elaboracin (Estonia, Italia, Lituania, Pases Bajos). Pocas protecciones y salvaguardas para el acceso gubernamental a los datos (en la mayora de los pases). Todava se presentan vigilancias ilegales y sin orden judicial. Periodistas y grupos disidentes se hallan bajo vigilancia (Lituania, Antigua Yugoslavia Repblica de Montenegro, Polonia, Rumania, Eslovaquia, Turqua).
Lo feo
Acceso directo a la informacin en manos de terceros sin rdenes judiciales o supervisin, conducidas por organismos que no rinden cuentas a nadie (p.ej. en Bulgaria, Croacia). Incapacidad para auditar y revisar las acciones de los servicios secretos (p.ej. en Lituania, Croacia, Estonia, Hungra, Suecia). Estn surgiendo bases de datos con registros centralizados de informacin mdica (p.ej. en Croacia, Repblica Checa, Dinamarca, Suecia, Noruega, Reino Unido).
89
INVESTIGACIN Y ANLISIS
Condujimos investigaciones en cada uno de los pases, apoyndonos en nuestros colaboradores para la mayor parte de los informes nacionales. Revisamos cada uno de los informes nacionales y creamos un resumen de los acontecimientos ms importantes pues ellos eran pertinentes para el esquema de clasificacin. Cuando hubo vacios de informacin intentamos suplirlos con informacin de otras fuentes.
Resumen de los Acontecimientos por Pas

Alemania
Valoracin: slido marco legal y regulatorio, entre los mejores en el mundo con reguladores y sociedad civil altamente calificados; pero las acciones del Gobierno y de los servicios de seguridad degradan seriamente las protecciones. protecciones constitucionales a la privacidad de las comunicaciones; aunque el Tribunal Federal Constitucional tambin cre en 1983 el derecho a la autodeterminacin informativa; los fallos del tribunal han sido en su mayora protectores de la privacidad. la ley de proteccin de datos est entre las ms estrictas; se han aadido enmiendas en reas de regulacin entre ellas las de video vigilancia, tarjetas inteligentes, supresin de elementos de identificacin, etc. protecciones legales adicionales fueron creadas en 2008 para la privacidad de los empleados. los reguladores federales y estatales se hallan entre los ms meticulosos y entre los lderes mundiales. el rgimen de vigilancia de las comunicaciones permite interceptaciones automatizadas sin orden judicial; amplio uso de poderes de vigilancia de comunicaciones, entre los ms altos en el mundo; las investigaciones han mostrado que ocurren interceptaciones ilegales. el gobierno busc tener poder para conducir registros secretos de computadoras, ello fue dictaminado como inconstitucional por el Tribunal Federal Constitucional, aunque estos pueden ser conducidos con una orden judicial. la informacin de los abonados debe ser registrada incluso para servicios de comunicaciones prepagados. poltica de retencin de datos por 6 meses, pero el acceso es regulado por orden judicial para investigaciones explicitadas en una lista. su activa sociedad civil es un ejemplo para el mundo: 34,000 personas presentaron un caso ante el Tribunal Constitucional apelando contra la retencin de datos. amplio uso de Circuito Cerrado de Televisin (CCTV) y de tcnicas de vigilancia visual, aunque los tribunales y los reguladores han estado activos oponindose a planes (entre ellos en un caso, a travs de la cmara de un museo se poda ver el interior del apartamento privado del Canciller).
90
la polica puede utilizar la tecnologa GPS para rastrear sospechosos en casos de graves delitos, incluso sin una orden judicial. se han incrementado los planes para la vigilancia para viajes y la vigilancia en las carreteras y la remocin de salvaguardas que fueron implantadas originalmente cuando los sistemas se pusieron en marcha. pasaportes biomtricos que incluyen huellas dactilares, pero no estn almacenados en bases de datos centrales o locales. las cdulas de identificacin son obligatorias; aunque pueden incorporar huellas dactilares, de manera voluntaria, debido a que el plan original enfrent una considerable oposicin pblica. uso de escneres corporales en el Aeropuerto de Hamburgo, aunque stos son opcionales. la ley de diagnstico gentico prohbe el uso de exmenes genticos para empleados; los datos biomtricos slo pueden ser utilizados en el centro laboral con la aprobacin del Consejo de Direccin o la Junta de Arbitraje de los trabajadores. el lanzamiento de identificaciones para e-Salud (e-Health) fue suspendido por motivos de seguridad; ahora existen planes para un "sistema seguro de administracin de datos de pacientes". no existe una ley especfica sobre privacidad, pero es parte del derecho consuetudinario; aunque ahora existen medios automatizados para que las autoridades tengan acceso a informacin financiera. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa, pero fue parte del proceso del Tratado de Prm. el ADN obtenido de convictos por delitos graves o reincidentes en la comisin de delitos menores, y de sospechosos acusados por delitos graves, se eliminan cuando ya no son necesarios; las muestras se retienen por el mismo periodo.
Antigua Yugoslavia Repblica de Macedonia

Valoracin: a pesar de tener en vigencia fuertes marcos de proteccin, los abusos continan y las pobres prcticas de vigilancia persisten sin los recursos adecuados para subsanarlas. existe proteccin constitucional para la privacidad, el secreto de las comunicaciones y la proteccin de datos. est en vigencia una ley integral de proteccin de datos, la cual incluye enmiendas recientes para reforzar el marco legal, proveyendo mayores poderes de investigacin para el regulador. el regulador es independiente e informa al Parlamento (ste ya ha enfrentado desafos polticos), y ser relativamente grande en tamao; tambin ha trabajado en programas de sensibilizacin pblica. identificador nico vigente. a pesar del rgimen legal, existen problemas con el rgimen de vigilancia de comunicaciones, p.ej. los periodistas estn sujetos a vigilancia. obligacin legal de las compaas de telfonos de proporcionar acceso directo y sin restricciones al trfico y a otros datos al Ministerio del Interior sin aviso u orden judicial.
91
rgimen de retencin de datos de 24 meses. creciente nmero de sistemas de Circuito Cerrado de Televisin (CCTV), a pesar que est presuntamente regulado. los pasaportes cuentan con huellas dactilares; y la cdula de identificacin nacional tambin cuenta con datos biomtricos. no existen protecciones especiales para vigilancia en centros laborales ratific el Convenio sobre Ciberdelincuencia.
Austria
Valoracin: es impresionante que el Gobierno no haya implantado la retencin de datos; sin embargo existen algunas preocupaciones sobre el alcance de la comparticin de datos particularmente para vigilancia fronteriza. no cuenta con una proteccin constitucional especfica, aunque existe una ley federal con varias estipulaciones constitucionales entre ellas la de proteccin de datos como derecho fundamental; la enmienda constitucional fracas, a pesar de ello, las protecciones se mantienen; adhesin al Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales en las decisiones de la Corte Constitucional, aunque la Corte desestim un caso sobre acceso policial a datos; tambin orden que el acceso a datos en poder de los proveedores de servicio de Internet para casos de derechos de autor no sea necesario. se hicieron enmiendas sustanciales para mejorar la anterior ley de proteccin de datos y contar con recursos en casos de interferencias; tambin se incluyeron leyes sectoriales y leyes que se aplican a reas especficas (comunicaciones, gentica, medicina, finanzas). el regulador puede ordenar a los controladores a responder apropiadamente a las solicitudes de informacin, incluyendo al personal del sistema judicial; se ha incrementado el nmero de casos; pueden formularse cargos criminales; alta tasa de xito en casos a pesar de la escasez de personal. el regulador todava no cuenta con independencia, a pesar de la notificacin de este problema en 2005, por parte de la Comisin Europea. la centralizacin de datos de estudiantes ha disminuido su periodo de retencin de datos de 60 aos a 20 aos, con ms limitaciones en cuanto a acceso y uso. rdenes judiciales para interceptacin de comunicaciones cuando un crimen es punible con uno o ms aos de prisin este es un umbral muy bajo; las investigaciones mltiples son posibles para casos complejos de crmenes punibles con ms de diez aos de prisin y la aprobacin de esta normativa fue rechazada. las leyes de acceso a datos fueron cambiadas para incrementar su disponibilidad, particularmente en emergencias y sin rdenes judiciales; la Corte Constitucional desestim un caso que puso en entredicho esta prctica. el gobierno ha propuesto el uso de Troyanos para tener acceso a sistemas de cmputo, pero los planes actualmente estn estancados. no se ha implantado la Directiva de Retencin de Datos, debido a que el tema es controvertido en Austria. amplio poder para la recoleccin de datos a travs de vigilancia acstica, aunque ste no sea utilizado a menudo.
92
el regulador ha fallado a favor de la privacidad mdica, p.ej. impidiendo a los investigadores tener acceso a datos mdicos de convictos adictos a drogas que estn en rehabilitacin. amplio uso del Sistema de Informacin Schengen, p.ej. para la expedicin de licencias de conducir. informes de planes para otorgar acceso a datos por parte de gobiernos extranjeros, es decir, otorgarle acceso a las autoridades de los Estados Unidos de Amrica a bases de datos de ADN, datos de huellas dactilares, etc. incremento en el uso de Circuito Cerrado de Televisin (CCTV), aunque algunas salvaguardas se han introducido, entre ellas la proporcionalidad; existe un nfasis en el borrado en tiempo real, en vez de su grabacin y posterior borrado despus de 72 horas. recoleccin de dos huellas dactilares para pasaportes biomtricos, pero los datos son almacenados slo en el chip y a los menores de 12 aos no se les toman huellas; tenencia de una tarjeta electrnica inteligente para la seguridad social; la obligacin de que cada ciudadano cuente con la tarjeta ha sido abandonada. la Corte Suprema fall a favor de la privacidad en el centro laboral: restringiendo el uso del escner biomtrico de lectura del tiempo, ello por razones de dignidad humana. los empleadores no pueden vigilar las comunicaciones privadas de sus empleados, si y slo si, estas estn etiquetadas como tales; los empleadores no deben utilizar Circuito Cerrado de Televisin (CCTV) excepto para vigilar objetos. bajos niveles de proteccin para informacin mdica en sistemas de informacin, con reglas de acceso amplias para personal autorizado. reducciones recientes de protecciones sobre comparticin de datos con otros pases en relacin a cuentas financieras; aunque los bancos estn regulados en la manera como pueden utilizar la informacin personal, incluyendo la de capacidad crediticia. actualmente se ocupan de la propuesta de "Base de Datos de Transparencia" ("Transparency Database"), que contendra el ingreso neto y beneficios sociales por persona, aunque hay salvaguardas respecto de quien tiene acceso. ADN se obtiene slo de aquellos inculpados por delitos graves y de los convictos, aunque la retencin es indefinida para convictos; la informacin de los sospechosos slo se elimina siempre y cuando se le absuelva y haya presentado una solicitud; el perfil se mantiene retenido incluso si se ha producido absolucin. el gobierno se jacta de estar entre los pases lderes a nivel mundial respecto al tratamiento del ADN, tambin de liderar el tratado de Prm para el intercambio de datos dentro de Europa.
Blgica
Valoracin: a pesar de que el aspecto legal es fuerte con una sociedad civil activa, las medidas de vigilancia tecnolgica son problemticas, p.ej. el rgimen de retencin de datos y la identificacin nica para viajar.
93
la Constitucin belga reconoce el derecho a la privacidad y a las comunicaciones privadas; las cortes han fallado en casos de privacidad, entre ellos, los referentes al acceso a datos de suscriptores, evitando su revelacin. leyes especficas se aplican a las comunicaciones electrnicas, entre otras, la regulacin de vigilancia con cmaras, la privacidad mdica, el crdito de consumo y la seguridad social. el rgimen normativo de la proteccin de datos ha sido criticado por no plegarse a los requerimientos de la Unin Europea (UE); pero en la actualidad, Blgica ha implantado completamente, en leyes, las directivas de la UE. la Autoridad de Proteccin de Datos informa al Parlamento; tiene grandes capacidades con 55 miembros en personal, pero el nmero de quejas es relativamente bajo; pblica varias guas y recomendaciones sobre procesamiento de datos. tambin cuenta con comits que supervisan reas de actividad especficas, p.ej. la de seguridad social y salud, la de registro nacional, etc. amplio rgimen normativo para la vigilancia de comunicaciones: el acceso a las comunicaciones se autoriza por la judicatura, aunque aparenta ser una autoridad judicial investigadora; puede exigir el descifrado de datos y obligar a los administradores de redes a cumplir rdenes; hay un significativo nmero de rdenes de interceptacin, las cuales estn en crecimiento. una ley en 2001 prohibi el anonimato para suscriptores de telecomunicaciones, y puede prohibir cualquier servicio que dificulte la aplicacin de la ley de interceptaciones telefnicas. retencin de datos de una hasta tres aos, con una polica que favorece la poltica de tres aos, aunque no est completamente a punto; la industria se ha opuesto a una vigilancia de gran alcance. en 2005 se estableci una nueva agencia para el "anlisis de amenazas", por medio de la evaluacin de informacin producto de vigilancia secreta en manos de otras agencias de inteligencia, la cual segn la Autoridad de Proteccin de Datos carece de salvaguardas adecuadas. amplio plan para la vigilancia de todos los vehculos y su movimiento en Blgica. uno de los primeros pases en implantar la tecnologa de Identificacin por Radio Frecuencia (RFID, en ingls) en sus pasaportes. uno de los primeros pases tambin en implantar "identificadores inteligentes" para firmas digitales, y un nmero nico de identificacin en todos los servicios gubernamentales; y ahora la Identificacin electrnica (eID, en ingls) puede ser utilizada para comprar boletos de tren a pesar de los problemas relacionados con la privacidad. incluy documentos de identificacin para nios para ser utilizados en Internet. un gran debate sigui a la introduccin de la tecnologa RFID en el sistema de transporte pblico de Bruselas. existen reglas comunes para la vigilancia en el centro laboral y guas de la Comisin. la plataforma de e-Salud (e-Health), que no es obligatoria, para el intercambio de informacin dentro del sistema de salud, est basada en el consentimiento y en protecciones incorporadas. todava se aplica el secreto bancario, aunque existe un proyecto de ley para otorgar grandes poderes a los investigadores financieros.
94
liderazgo: el gobierno ha promovido la creacin de un Observatorio de Derechos en Internet. una activa red de ONGs hace notar problemas. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. el ADN de aquellos convictos por "graves ofensas", tiene un periodo de retencin de 10 aos; la muestra es destruida una vez creado un perfil.
Bulgaria
Valoracin: acontecimientos muy preocupantes particularmente en cuanto a vigilancia secreta y supervisin. la Constitucin cuenta con normas detalladas sobre la privacidad, comunicaciones y acceso a la informacin. muchos cambios a la ley de proteccin de datos, algunos contradictorios; la ley incluye poderes para imponer multas. amplia lista de otras leyes que cubren la privacidad. el regulador es independiente y es elegido por el Parlamento, y tiene poder de decisin. el nivel de conocimiento de la existencia de la oficina es alto, habiendo recibido 45,000 solicitudes para informacin en 2009, aunque slo 158 quejas. prevalece el argumento de la seguridad nacional y a la vez disminuyen los obstculos para tener acceso a informacin en manos de organizaciones del sector privado. poca supervisin a la utilizacin de interceptacin de comunicaciones por parte de los servicios de seguridad nacional y existencia de antecedentes de abusos. un cambio de poltica est en marcha para remediar lo sealado; con una subcomisin del Parlamento encargada de la supervisin. no existen estadsticas oficiales sobre el uso de las intercepciones. no existe consulta sobre la poltica de retencin de datos, con el gobierno buscando acceso directo a las bases de datos de trfico, dando lugar a fuertes crticas; ltimamente el tema fue llevado a las cortes y la Corte dictamin que los datos slo pueden ser accedidos despus de que se haya emitido una orden judicial. dos gobiernos distintos han persistido en su intento de tener acceso directo a los almacenes de datos. significativa restriccin al uso annimo de Internet, p.ej. a las compaas de alojamiento de sitios web. las cdulas de identificacin cuentan con datos biomtricos. la recoleccin de ADN, y violaciones al uso del ADN han sido identificados por el regulador; recolectados de aquellos acusados de crmenes dolosos, se eliminan cuando no existe una razn adicional para su conservacin con base en las caractersticas del caso (anlisis caso por caso). no existe un marco claro de salvaguardas para hacer frente a la vigilancia en el centro laboral. algunas salvaguardas estn vigentes para la privacidad mdica, incluyendo leyes especiales. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
95
Croacia
Valoracin: surgi en el pas un promisorio debate respecto a la privacidad. Preocupa la vigilancia de las comunicaciones y la supervisin. la Constitucin protege tanto la privacidad como la proteccin de datos. la ley de proteccin de datos contiene la capacidad de imponer multas, aunque por montos pequeos; la pena de prisin es una opcin, aunque ese poder nunca ha sido utilizado. la Comisin Europea ha afirmado que la Ley de Proteccin de Datos todava requiere de trabajo adicional para lograr una plena adecuacin a la de la Unin Europea. existen dos regulaciones adicionales para la proteccin de datos para sistemas de registro y categoras especiales de datos personales; pero no existen protecciones sectoriales. el organismo regulador es independiente e informa al Parlamento; tiene poder de decisin y en 2008 se ocup de 626 casos. la vigilancia de las comunicaciones se autoriza por la Corte Suprema o por jueces de investigacin slo por un mximo de 7 meses y los poderes de supervisin son dbiles ante la poca vigilancia a las agencias de inteligencia. la autoridad central reclama el derecho de conducir interceptaciones a nombre de las agencias, en vez de tener que contactar a los proveedores de servicios; y es un organismo no supervisado. se retienen todos los datos de comunicaciones recolectados por los proveedores de servicios por un periodo de 12 meses. se desarrollan planes para una poltica de registros obligatorios del mdulo de identificacin del suscriptor o tarjeta SIM de los telfonos celulares. creciente uso de Circuitos Cerrados de Televisin (CCTV), incluso en algunos colegios, esto a pesar del surgimiento de oposicin pblica. se ha propuesto pero no implantado el uso de pasaportes biomtricos. se busca reducir el uso de un identificador nico. las prcticas de vigilancia en el centro laboral estn incrementndose, y han habido llamados para su revisin y la de algunas guas regulatorias. es posible el intercambio a gran escala de datos financieros y los cambios a la Ley de Bancos permiten un mayor uso de la informacin. el sistema de informacin mdica centralizada carece de garantas y no involucra el aviso o consentimiento de los ciudadanos. el Convenio sobre la Ciberdelincuencia ha sido incorporado en la ley nacional se recolecta el ADN si la identidad est en duda en una investigacin, la retencin del ADN de personas convictas es por un periodo de 20 aos.
Chipre
Valoracin: informacin limitada de modo que no se puede hacer una evaluacin completa, aunque hay algunos eventos promisorios, p.ej. la vigilancia en los centros laborales. la Constitucin protege la privacidad y las comunicaciones.
96
se encontr que la ley de proteccin de datos no es consistente con la Directiva de Proteccin de Datos sobre el derecho a la informacin, transferencia a terceros pases, y algunos mecanismos procedimentales; se desconoce si esta situacin ha mejorado o no. el regulador es designado por el Consejo de Ministros, en consulta con el Parlamento, de modo que no es enteramente independiente; la cabeza de la autoridad regulatoria debe ser necesariamente un juez de la Corte Suprema. el regulador puede investigar quejas pero tambin puede conducir investigaciones de oficio. hay un bajo nivel de quejas en el pas, pero se conducen iniciativas de concientizacin pblica. se regula la recoleccin de huellas dactilares en el centro laboral y se reserva slo para casos excepcionales. la vigilancia de las comunicaciones requiere una orden de la corte, aunque el Fiscal General puede ahora autorizarla para ahorrar tiempo; una ley de 2006 permita a la polica vigilar las bitcoras electrnicas (blogs), descargas y correos electrnicos. no existen protecciones legales enrgicas en relacin a los Circuitos Cerrados de Televisin (CCTV); el regulador interviene y solicita una justificacin previa a la instalacin. los casos de vigilancia en el centro laboral involucraron incluso el uso de micrfonos secretos. la vigilancia en el centro laboral est regulada por la Orden de Empleo de la autoridad. se ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. ADN: recolectado de todos los convictos y sospechosos; se eliminan cuando el registro queda limpio; los perfiles de los sospechosos se eliminan cuando estos son absueltos o eximidos.
Dinamarca
Valoracin: el rgimen de vigilancia de comunicaciones necesita supervisin. Es preocupante para toda la sociedad el uso de un identificador nico, como tambin lo es el crecimiento en el uso de Circuito Cerrado de Televisin (CCTV); el rgimen de ADN probablemente contravenga lo dispuesto por el Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales. proteccin constitucional a la privacidad y de manera indirecta a la proteccin de datos. los cambios a la ley de proteccin de datos permiten un creciente intercambio de datos. las agencias de inteligencia estn exceptuadas de las leyes de privacidad. las leyes sectoriales disponen protecciones para la informacin mdica, financiera y el mercadeo. el regulador es y reclama ser un organismo pblico independiente, pero personal clave es nombrado por el Ministro de Justicia. se ha recibido un alto nmero de quejas; el regulador se ha involucrado en casos de alto perfil (p.ej. del sistema de inmigracin, Facebook).
97
la ley de vigilancia de las comunicaciones permite a la polica tener acceso a una lista de todos los telfonos celulares activos cerca de la escena de un crimen; el gobierno tambin ha considerado la idea de permitir la intercepcin a gran escala de comunicaciones en un rea. altos niveles de solicitudes de interceptacin y de aprobaciones de las cortes. se ha implantado a travs de una orden administrativa la retencin de datos por 12 meses a pesar de una fuerte oposicin, aunque desde entonces se han hecho algunos cambios para excluir a los pequeos proveedores de servicios de Internet. los pasaportes biomtricos incluyen reconocimiento facial pero todava no huellas dactilares. no existe una cdula de identificacin pero un nico nmero todava se utiliza para identificarse en los registros pblicos. han surgido casos de vigilancia en el centro laboral y han dado como resultado la imposicin de pequeas multas. las normas sobre Circuito Cerrado de Televisin (CCTV) son laxas y por tanto, ste se ha vuelto ms extendido. portal de e-Salud (e-Health) con un registro central, pero dispone el acceso de los ciudadanos a sus propios registros mdicos y utiliza acceso autenticado; lder mundial en mantenimiento de registros centralizados. ADN: recolectado de convictos y sospechosos acusados de delitos que pueden conducir a ms de 1.5 aos de prisin; se retienen tanto para convictos como sospechosos hasta dos aos despus de su muerte; y las muestras son retenidas.
Eslovaquia
Valoracin: algunas protecciones bsicas pero preocupantes implantaciones de polticas de identificacin, adems de protecciones poco claras en algunas reas. proteccin constitucional para la privacidad, el secreto de las comunicaciones y la proteccin de datos. ley integral de proteccin de datos as como algunas leyes especficas, aunque algunas veces ambiguas, p.ej. la vigilancia en el centro laboral. el regulador es independiente y est conduciendo actividades de concientizacin con relativo xito; ha tomado algunas decisiones que han sido controversiales para el gobierno, particularmente con relacin a la poltica de identificacin. se requiere de rdenes judiciales para la interceptacin de comunicaciones en casos de delitos graves; un caso en la Corte Constitucional ha provocado que se requiera al Gobierno la motivacin o sustanciacin de las rdenes de interceptacin. antecedentes de abusos contra polticos y grupos especficos; los hogares de los rumanos estn siendo penetrados sin contar con rdenes. seis meses de retencin para datos de comunicaciones por Internet; y 12 meses para datos de otras formas de comunicacin. el uso de sistemas de Circuito Cerrado de Televisin (CCTV) se ha determinado que est en contravencin con los requerimientos regulatorios. los pasaportes biomtricos incluyen huellas dactilares.
98
cdula de identificacin obligatoria con informacin adicional ms all de las caractersticas del perfil bsico; y se planea una cdula de identificacin electrnica. procedimientos detallados para vigilancia en el centro laboral. suscribi un acuerdo con los Estados Unidos de Amrica para transferir datos de pasajeros. ADN: obtenido de cualquiera que sea penalizado con ms de una multa, y de todos los sospechosos; los perfiles de los convictos se retiene por 10 aos, los datos de los sospechosos se eliminan una vez absueltos; las muestras se destruyen tan pronto sea posible.
Eslovenia
Valoracin: prcticas problemticas de vigilancia, aunque la oficina del Comisionado juega un papel importante en la proteccin de la privacidad. existe proteccin constitucional para la privacidad, las comunicaciones y la proteccin de datos. los cambios en la ley de proteccin de datos incorporan la cobertura de video vigilancia y datos biomtricos. tambin cuentan con leyes sobre privacidad mdica y estadsticas nacionales. el regulador recibe cada vez ms quejas; y est bien considerado en su labor el reforzar la proteccin de datos en Eslovenia. la interceptacin requiere de orden judicial; los servicios secretos tienen mayor flexibilidad y esta posicin fue respaldada por la Corte Constitucional. el trfico de las comunicaciones fue originalmente retenido por 24 meses, pero recientemente fue enmendado y recortado a 14 meses para el trfico telefnico y ocho meses para el trfico de Internet. aunque el Comisionado ha elaborado guas para la vigilancia en el centro laboral, ste no ha sido revisado an por el Parlamento. la privacidad mdica se norma en la Ley de Derechos de los Pacientes; y los abusos han provocado la expedicin de multas por parte del Comisionado. se han notado abusos en relacin a la privacidad financiera cuando la Administracin Tributaria accedi innecesariamente a registros de contribuyentes. ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Espaa
Valoracin: admirable regulador, pero las cortes no han sido demasiado tiles en asuntos de privacidad. Falta de un adecuado debate sobre vigilancia tecnolgica. proteccin constitucional para la privacidad y la proteccin de datos. las protecciones integrales son actualizadas de manera regular para incrementar las protecciones. el regulador es renombrado a nivel mundial; decisiones y guas enrgicas, as como la capacidad para expedir multas.
99
las leyes de vigilancia de comunicaciones han sido criticadas por ser vagas, entre ellas las de recuperacin de contraseas, y la de interceptaciones sin autorizacin. periodo de retencin de 12 meses para datos de comunicaciones y prohibicin del anonimato en telfonos celulares prepagados. el uso de sistemas de Circuito Cerrado de Televisin (CCTV) est regulado y algunas veces se requieren mtodos de informacin. el debate sobre las cdulas de identificacin ha sufrido por la promocin unilateral de la cdula en vez de un anlisis crtico de sus capacidades. el ADN se elimina luego de la absolucin. los sistemas de registro de e-Salud (e-Health) estn emergiendo. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Estonia
Valoracin: existe un marco legal, pero las polticas y las tecnologas estn entre las peores de Europa. la Constitucin se aplica a la privacidad, las comunicaciones y la proteccin de datos; las cortes superiores se han ocupado de casos de privacidad aunque los resultados son mixtos, recientemente la jurisprudencia muestra inters en ampliar la privacidad. el marco de proteccin de datos trata los datos biomtricos y genticos como "sensibles". el regulador tiene poderes para imponer multas, pero estas son muy pequeas; el regulador lleg a ser independiente en 2007, aunque opera como dependiente del Ministerio de Justicia; es relativamente una dependencia pequea, aunque su actividad se est incrementando. la vigilancia se autoriza por medio de los jefes de las agencias. sin embargo, la vigilancia de las comunicaciones requiere la autorizacin de un juez de investigacin. ley de retencin de datos por un periodo de 12 meses. los poderes de uso de bases de datos y de anlisis de datos por parte de las fuerzas del orden y seguridad nacional son problemticos. creciente uso de Circuito Cerrado de Televisin (CCTV), aunque existe una falta de datos oficiales al respecto; el proyecto de ley sobre CCTV est en el Parlamento. las cdulas de identificacin obligatorias incluyen registros biomtricos del iris, huellas dactilares y el rostro; la cdula es multipropsito y contiene informacin e identificadores adicionales. pocas leyes sectoriales, aunque hay una de informacin crediticia. existe una ley de vigilancia en el centro laboral pero no existe regulacin o jurisprudencia todava. sistema obligatorio de registro e-Salud (e-Health) sin la opcin de resistirse al procesamiento de informacin. estableci un acuerdo con los Estados Unidos de Amrica para transferir datos de pasajeros. ratific el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
100
ADN: recolectado de arrestados o convictos por cualquier "delito registrable"; se mantiene por hasta 10 aos despus de la muerte tanto para sospechosos como para convictos y las muestras se retienen indefinidamente.
Finlandia
Valoracin: el regulador est trabajando arduamente en labores de sensibilizacin. Los planes de vigilancia parecen ser permanentes en las deliberaciones policiales que han ocurrido en otro lugar. derecho constitucional a la privacidad y las comunicaciones; varios casos han sido juzgados. la ley integral de proteccin de datos considera sanciones civiles y penales (prisin por hasta un ao). las quejas al regulador se han incrementado notablemente, indicando una fuerte conciencia sobre los derechos. rdenes judiciales para interceptacin de comunicaciones. retencin de datos de trfico por un periodo de 12 meses. acceso a datos sobre ingresos es generalizado, p.ej. incluso para el clculo de multas de trfico. la vigilancia generalizada es permitida en el centro laboral; tambin permitida para investigar casos de robo de propiedad intelectual. la cdula de identificacin multipropsito cuenta con informacin de varias fuentes incluso de seguros mdicos. ADN: tomado de convictos que cumplen penas de tres aos o ms, sospechosos acusados de delitos penalizados con seis o ms meses de prisin; los perfiles se mantienen por diez aos despus de su muerte, los perfiles de los sospechosos se eliminan dentro del ao siguiente a su exculpacin; las muestras se retienen por los mismos periodos. ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa.
Francia
Valoracin: de manera preocupante est cerca de ser coronado como el Estado lder en Europa en cuanto a vigilancia. Nuevas bases de datos y prcticas de vigilancia estn surgiendo de manera continua; a pesar del arduo trabajo del regulador y la sociedad civil, tiene algunas de las ms dbiles salvaguardas en Europa. no est explcitamente sealada en la Constitucin pero ha sido reglamentada para estar implcitamente; aunque ha habido recomendaciones para incluirla por medio de una reforma constitucional, stas han sido ignoradas por el Presidente. ley integral y leyes sectoriales para archivos, video vigilancia, empleo y proteccin al consumidor. la Comisin Nacional de Informtica y Libertades (CNIL) realiza muchas labores alrededor del mundo; tiene poderes para imponer multas que no utiliza ampliamente y tiene poderes limitados sobre ciertas reas de la actividad gubernamental. el nivel de actividad legal es muy alto.
101
los nuevos poderes de vigilancia han sido desplegados con implicancias preocupantes, p.ej. la Ley de Orientacin y Programacin para la Seguridad Interior (LOPSSI2) para acceder de manera remota, grabar, recolectar y transferir informacin en manos de los sistemas de Tecnologas de la Informacin. la polica puede acceder a registros sin orden judicial en casos de terrorismo. hay una ley sobre el uso del registro de nombres de los pasajeros ley de retencin por 12 meses y puede ser utilizada para casos sobre propiedad intelectual; requiere la retencin de informacin identificable de abonados. las agencias de inteligencia y de la polica han establecido una plataforma para otorgarse a s mismos un fcil acceso a datos de trfico. alto nivel de accin regulatoria y de parte de la sociedad civil, pero lamentablemente slo se han logrado pequeos cambios en la poltica gubernamental. muchas nuevas bases de datos y sistemas han sido establecidos para vigilar a varios grupos; algunos con muy altas tasas de error. amplio uso de Circuito Cerrado de Televisin (CCTV). datos biomtricos recolectados para labores de control de fronteras y para pasaportes, aunque no existe ninguna seal de huellas dactilares en los pasaportes. la propuesta de expandir el proyecto de cdulas de identificacin est todava en suspenso debido a las protestas y crticas. las normas sobre privacidad en el centro laboral han permitido la lectura de correos electrnicos por parte de los empleadores, pero el abuso de actividades en Internet no es suficiente para la finalizacin del contrato. sistema nacional de registros e-Salud, pero con serias carencias en cuanto a proteccin de datos y muchas brechas de seguridad; el sistema est bajo revisin pero prevalecen otros problemas. la vigilancia financiera ha violado dos veces el Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales segn la Corte Europea de Derechos Humanos. ADN: tomado de convictos o de aquellos acusados de "graves delitos"; los datos de los convictos se retienen por 25 aos, los de los sospechosos se eliminan por peticin de la fiscala; las muestras se retienen por iguales periodos.
Grecia
Valoracin: una rica y controversial historia de la privacidad, con abusos a todo nivel y agitacin poltica. Aunque ocurrieron eventos prometedores a mediados de la dcada del 2000, desde ese entonces el Gobierno ha fracasado repetidamente en la implementacin de las necesarias salvaguardas y por ello la vigilancia continua. existen protecciones constitucionales para la privacidad y las comunicaciones y por medio de una enmienda, el derecho constitucional a la proteccin de datos con una autoridad independiente. la detallada ley de proteccin de datos ha sido enmendada para actualizar las definiciones de datos personales y ocuparse de los flujos de datos
102
transfronterizos, pero tambin para excluir a los Circuitos Cerrados de Televisin (CCTV) de la ley. el regulador es independiente, conducido por un juez y puede emitir sanciones administrativas y penales, entre ellas multas pecuniarias medianas; histricamente ha jugado un papel importante en los debates polticos y ha emitido una serie de juicios. en 2007 hubo una renuncia colectiva de parte del regulador en protesta por los acontecimientos vinculados a los Circuitos Cerrados de Televisin (CCTV). los organismos de supervisin existen para la vigilancia de las comunicaciones; se ha multado a Vodafone y a Ericsson por abusos en interceptacin de comunicaciones pero ello fue revocado por la Corte Constitucional. como consecuencia de los abusos, una nueva ley se introdujo en 2008 para proteger la privacidad de las telecomunicaciones, exigiendo una poltica de seguridad a todo proveedor de servicio y exigiendo auditorias y nuevas penalidades por los abusos. el Gobierno prometi un nuevo Plan de Seguridad para proteger las comunicaciones pero no se realiz ninguna accin por parte del Gobierno. aunque no existe una ley de retencin, hay una amplia retencin de datos de comunicaciones que vara entre dos a cinco aos. el rediseo del sistema de Circuito Cerrado de Televisin (CCTV) instalado para las Olimpiadas ha sido controversial; pero ahora ste se est expandiendo incluso ms, abarcando colegios y fue excluido de la ley. se introdujo una ley que exige el registro de los mdulos de identificacin del suscriptor o tarjetas SIM. sistema de identificacin administrado por la polica incluye la recoleccin de informacin detallada, aunque ya no recolecta informacin sobre creencias religiosas. el uso de datos biomtricos en el centro laboral ha sido regulado para operaciones altamente sensibles. el regulador impidi el uso de datos biomtricos en el aeropuerto de Atenas. la privacidad financiera est siendo erosionada, tanto por la tributacin como por los informes de crdito.
Hungra
Valoracin: acontecimientos preocupantes en el proceso poltico hngaro han tenido serias implicaciones para el panorama de la privacidad. La dbil supervisin necesita atencin. proteccin constitucional de la privacidad y de los datos personales. una ley integral de proteccin de datos fue previamente estimada como "adecuada" para el flujo transfronterizo de datos antes de unirse a la Unin Europea. existen varias leyes sectoriales especficas relativas a direcciones de domicilios, cdigos de identificacin, informacin mdica, informacin policial, etc. e incluso bancos biolgicos, aunque la regulacin es dbil.
103
el regulador puede investigar las quejas y tiene poderes de decisin; aunque independiente, el regulador a menudo recibe presiones polticas y hay posibilidades de un debilitamiento de sus poderes. el nmero de quejas y de casos continua aumentando; igualmente el nmero de casos destacados. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso del sistema de Circuito Cerrado de Televisin (CCTV), con periodos de retencin ampliados. la vigilancia de las comunicaciones requiere de una orden judicial y est limitada para delitos punibles con cinco o ms aos. han surgido informes sobre el uso de "cajas negras" en las redes de los proveedores de servicios para interceptar comunicaciones sin una autorizacin. el Tribunal Constitucional ha notado que existen serios problemas de supervisin. la retencin de datos de comunicaciones se ha adoptado por ley en 2008, con un caso pendiente que solicita su anulacin. se uni al Tratado de Prm para permitir el intercambio de datos dentro de los pases de la Unin Europea. los casos de vigilancia en el centro laboral incluyen al de Vodafone que vigilaba el movimiento de sus empleados sin notificarles; falta regulacin en este campo. los pasaportes contienen huellas dactilares. falta de regulaciones y promocin de intercambio de datos de salud y financieros. sociedad civil activa. ratific el Convenio del Consejo de Europa. ADN: obtenido de aquellos convictos de delitos especficos o sospechosos en investigaciones con penas de cinco o ms aos; los datos de los convictos se mantienen por 20 aos, los de los sospechosos se retienen hasta que el proceso sea archivado o el sospechoso absuelto; las muestras se destruyen de manera similar.
Irlanda
Valoracin: dbil cumplimiento regulatorio y un proceso de supervisin problemtico particularmente para la vigilancia de comunicaciones. no hay un derecho expreso a la privacidad en la Constitucin, la jurisprudencia ha indicado que est implcita en las normas de "derechos personales". el rgimen integral de proteccin de datos ha sido enmendado para actualizar sus protecciones. el regulador es independiente; puede diligenciar las notificaciones de cumplimiento; ha sido criticado por sus dbiles decisiones sobre Google. la interceptacin de comunicaciones se autoriza por rdenes ministeriales y se supervisan por un Juez de la Suprema Corte; la ley fue elaborada con una jurisdiccin limitada, que posiblemente permita interceptaciones de Voz sobre Protocolo de Internet (VoIP) sin rdenes judiciales.
104
la poltica de retencin est entre las peores, anteriormente con una amplia retencin de manera no regulada, luego con un esquema de retencin de tres aos, ahora con un esquema de dos aos para datos telefnicos y de un ao para los de Internet. no se necesita una aprobacin externa para acceder a datos de trfico.
Italia
Valoracin: un ambiente legislativo catico ha conducido a protecciones errticas. La falta de supervisin en la seguridad nacional y en el cumplimiento de la ley; pero el regulador de la privacidad y la activa sociedad civil han jugado papeles importantes en la proteccin de la privacidad. no existe una proteccin especfica de la privacidad en la Constitucin, aunque existen protecciones para las comunicaciones y para el hogar. despus de dos dcadas de debate, una ley integral de proteccin de datos fue promulgada en 1996; actualizada en 2003 para incorporar las nuevas directivas de la Unin Europea. existen leyes adicionales relacionadas a la video vigilancia, la vigilancia en centros laborales, informacin estadstica y archivos electrnicos. el regulador ha conducido investigaciones en diversos sectores y ha participado en casos emblemticos e influyentes. se paralizaron los sistemas de registro biomtricos. hay un amplio marco normativo para la vigilancia de las comunicaciones y existen planes legislativos para regular, ms adelante, las interceptaciones ilegales; todava se dan interceptaciones preventivas a discrecin de la Fiscala General. han habido casos de "puertas traseras" (backdoors) construidas en servicios dando como resultado una sobrevigilancia, incluido un caso donde las comunicaciones de 30,000 abonados fueron violadas. las tasas de interceptacin son muy altas y se desconoce cuntas interceptaciones ilegales se producen. suscribi el Tratado de Prm y consecuentemente estableci una base de datos de ADN; el periodo de retencin es de 40 aos para los perfiles y de 20 aos para las muestras biolgicas. la video vigilancia est en aumento, aunque el regulador es muy activo en esta materia. los pasaportes biomtricos tenan que incluir huellas dactilares, pero no seran almacenadas en una base de datos central; y al respecto, no se ha tomado ninguna accin. se intent implantar un sistema de identificacin con un almacn centralizado de registro; pero este fue desmantelado en 2009; la existencia de un nuevo sistema con un registro centralizado de huellas dactilares ha sido postergada. las normas de vigilancia en centros laborales prohben espiar los hbitos de navegacin en Internet de los empleados. las iniciativas de e-Salud (e-Health) involucran registros centralizados, aunque nuevamente participa el regulador.
105
la privacidad financiera ha sido obstaculizada por la diseminacin en Internet de todas las devoluciones de impuestos. hay sociedad civil activa. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Letonia
Valoracin: hay algunas limitaciones problemticas y conflictos de supervisin, particularmente en la vigilancia de las comunicaciones y el ADN. Las modificaciones a la ley de proteccin de datos para incrementar las excepciones tambin es problemtica. la proteccin constitucional cubre la privacidad y las comunicaciones. ley integral, aunque ahora contiene enmiendas que han incluido limitaciones a los derechos de las personas en asuntos de estados financieros y seguros, que nuevamente permiten el procesamiento de informacin mdica. existen leyes para comunicaciones electrnicas y para bases de datos de ADN. el regulador est bajo la jurisdiccin del Ministerio de Justicia; a pesar de los intentos para mejorar su independencia, los planes han sido postergados repetidamente. la oficina del regulador sufri recortes de personal en 2009. la vigilancia de las comunicaciones est regulada para investigaciones especficas. la autoridad supervisora autoriza las vigilancias, aunque sta puede darse por un fiscal (en casos de emergencia) o por un juez. el rastreo slo es permitido con autorizacin judicial. se han incrementado los casos de interceptaciones ilegales. las fuerzas del orden pueden ahora tener acceso a informacin en manos de agencias de crdito con el fin de combatir el terrorismo. periodo de retencin de 18 meses. el regulador supervisa los sistemas de Circuito Cerrado de Televisin (CCTV). los pasaportes biomtricos incluyen huellas dactilares. cdulas de identificacin obligatorias para todos los residentes. los empleadores pueden vigilar las comunicaciones de sus empelados. rgimen legal especfico para la privacidad mdica, incluso despus de la muerte; aunque se permite para la investigacin mdica, si sta no requiere la identificacin. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. ADN: tomado de aquellos convictos o sospechosos de cualquier "delito registrable"; retenido por 75 aos; se retienen tambin las muestras.
Lituania
Valoracin: este pas todava est aprendiendo los fundamentos de la privacidad, pero han ocurrido algunos eventos prometedores particularmente en la medida que la Corte
106
Suprema genera jurisprudencia. Las leyes de vigilancia estn abiertas para el abuso de las autoridades gubernamentales y se requieren procedimientos ms estrictos. la Constitucin protege la privacidad y las comunicaciones; y la Corte Suprema ha reafirmado el derecho a una vida privada como uno de los derechos fundamentales ms importantes. se han producido actualizaciones importantes a la ley de proteccin de datos con el fin de ser parte de la Unin Europea, completadas en el periodo 2003/2004. los cambios ms recientes incluyen la adicin de la video vigilancia en la ley, el uso restringido de nmeros de identificacin personal y protecciones ms estrictas a la informacin mdica y la independencia del regulador fue reforzada. el bajo nmero de quejas refleja la falta de sensibilizacin sobre el tema en el pas; aunque las cifras estn creciendo. se requiere de autorizacin judicial para la interceptacin, aunque no existe un estricto escrutinio; la ley ha sido criticada por no ser clara y por la falta de procedimientos claros para prevenir el abuso del Departamento de Seguridad Estatal. existen quejas recientes de interceptaciones a periodistas. la ley de retenciones se implant en 2009, por periodos de seis meses, a menos que los datos sean necesarios para operaciones en marcha, punto en el cual ste es retenido por seis meses adicionales; aunque la decisin de la Corte Constitucional de 2002 requiere que ello se restrinja a datos recolectados para las operaciones comerciales normales. estableci un acuerdo con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso de sistemas de Circuito Cerrado de Televisin (CCTV) aunque el regulador est trabajando en el tema; no obstante hay algunos casos de vigilancia secreta; ha habido un amplio debate sobre el tema. los pasaportes biomtricos incluyen huellas dactilares, a la vez que el almacenamiento de los datos biomtricos se realiza en un registro central. creciente uso de tcnicas de vigilancia en el centro laboral; sobre ello hay un limitado debate y las cortes tienden a favorecer a los empleadores. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. ADN: obtenido de los convictos y sospechosos; todos los perfiles son retenidos por 100 aos; las muestras deben ser destruidas una vez creado el perfil.
Luxemburgo
Valoracin: limitados recursos para el regulador pero marcos legales en vigencia. La privacidad financiera es fuerte. Algunas salvaguardas para la sociedad aunque no se cuenta con informacin suficiente sobre las acciones de las agencias de seguridad. la Constitucin garantiza el derecho a la privacidad y al secreto de la correspondencia. ley integral de proteccin de datos. el regulador cuenta con una dependencia pequea; pero puede hacer investigaciones de oficio; expedir penalidades monetarias, tiene poderes de decisin y se ha ocupado de algunos casos.
107
se requieren rdenes judiciales para la interceptacin de comunicaciones, con algunos requisitos de notificacin. el periodo de retencin de trfico de comunicaciones es de 12 meses, pero requiere una clara definicin de los tipos de investigaciones en los cuales la polica puede acceder a la informacin. existen regulaciones para el sistema de Circuito Cerrado de Televisin (CCTV). la vigilancia en los centros laborales est regida por ley. existe un nico nmero de identificacin para cada residente y este es ampliamente utilizado; huellas dactilares en los pasaportes, aunque retiradas del registro central despus de un mes. slidas leyes sobre privacidad financiera. parte del Tratado de Prm. ADN: obtenido de los convictos por delitos especficos y de los sospechosos de cualquier delito registrable; los datos de los convictos son retenidos por el tiempo que dure su vida, ms 10 aos; los datos de los sospechosos son borrados una vez que son absueltos; las muestras se retienen por periodos similares.
Malta
Valoracin: estn surgiendo expertos y casos sobre privacidad. El rgimen de vigilancia de comunicaciones es problemtico, as como el de su supervisin. la Constitucin garantiza la proteccin de la privacidad, con algunos casos emergentes. ley integral en concordancia con la Directiva de Proteccin de Datos. el regulador es independiente y trabaja de manera cercana con otros reguladores en Malta y a nivel internacional. pequeo nmero de quejas recibidas, pero se realizan campaas de sensibilizacin pblica. las preocupaciones sobre los sistemas de Circuito Cerrado de Televisin (CCTV) se hallan en el tope de la lista de quejas. las rdenes para la interceptacin de las comunicaciones son emitidas por el Ministro responsable para los servicios de seguridad. la retencin es por 12 meses para datos telefnicos, seis meses para datos de Internet y existen algunas limitaciones para el acceso. los datos biomtricos de los pasaportes estn almacenados en el mismo pasaporte, pero no existen planes para incluirlos en los documentos de identidad. el Gobierno est considerando escneres de cuerpo completo, pero todava no hay una decisin al respecto. no existen guas sobre vigilancia en el centro laboral; aunque existen quejas ante el regulador, ninguna de ellas es formal debido a que los empleados estn preocupados por su puesto de trabajo. existen guas vigentes para la privacidad financiera.
Noruega
108
Valoracin: la creciente supervisin sobre las agencias de seguridad parece promisoria. Los problemas con la privacidad financiera continan a pesar del abuso generalizado. La regulacin juega un papel importante y se han dado signos positivos de resistencia a las medidas de vigilancia, p.ej. escaneo corporal, retencin. la Constitucin no tiene un artculo especfico sobre privacidad, aunque tiene un artculo sobre registros; la Corte Suprema orden en 1952 la incorporacin de una proteccin legal a la "personalidad" la cual incorpora la privacidad. la ley integral a menudo es considerada enrgica, las penalizaciones son multas o prisin; y permite realizas inspecciones en todas las bases de datos incluidas a las de los sistemas policiales. el regulador es dependiente del Ministerio de Administracin Gubernamental pero se le considera independiente. el regulador ha ejecutado el rol de lder mundial en campaas de sensibilizacin. la interceptacin de comunicaciones se autoriza por orden judicial en casos que involucren narcticos y seguridad nacional y algunos delitos menos graves. un nuevo organismo de supervisin ha sido introducido para la vigilancia de interceptaciones. existe una historia de interceptaciones ilegales y de vigilancia poltica, por tanto se estableci un comit para vigilar los servicios de seguridad el cual informar anualmente al Parlamento. existen leyes vigentes para hacer ms fcil a la polica el interceptar conversaciones de criminales; despus de una evaluacin, una comisin del gobierno encontr que los poderes estaban siendo utilizados en las circunstancias pertinentes pero mostr su preocupacin en torno a una sobre recoleccin de datos pero con una carencia de estadsticas. no existe una ley de retencin de datos. suscribi el Tratado de Prm. emite pasaportes biomtricos con huellas dactilares desde 2010; no cuenta con una base de datos central, pero hay un amplio debate en relacin a la seguridad del chip. cdulas de identificacin no obligatorias. reaccin negativa a las propuestas de escaneados corporales condujo a la cancelacin de este plan. la toma de huellas dactilares en el sector privado se ha disuadido particularmente porque otros medios de identificacin son suficientes. se aplican leyes especficas para la vigilancia en el centro laboral, donde se requiere de una negociacin con los representantes del sindicato adems de evaluaciones regulares. la privacidad mdica ha sido cuestionada por su implementacin al interior del Gobierno, lo cual condujo a un alto nmero de usuarios que podan acceder a registros personales; las objeciones de parte del regulador fueron ignoradas hasta la apelacin. la privacidad financiera se degrad en el 2009, al otorgarle a ms agencias el acceso a una lista de transferencias financieras dentro y fuera de Noruega. la disponibilidad pblica de informacin sobre devolucin de impuestos es una antigua tradicin, aunque en aos recientes sta se ha vuelto ms controversial, lo que condujo a los partidos de la oposicin a proponer la prohibicin del
109
proceso, particularmente porque existen aplicaciones en Facebook y en el iPhone para buscar en estas listas. ratific el Convenio sobre Ciberdelincuencia del Consejo de Europa. ADN: se obtiene de todos los convictos con pena de prisin.
Pases Bajos
Valoracin: una fuerte tradicin de libertades civiles y privacidad est siendo reemplazada con ambiciosos programas tecnolgicos y una dbil supervisin. Un fuerte regulador, la sociedad civil y a veces la industria, trabajan arduamente para atraer la atencin a un gran nmero de propuestas y polticas. existen garantas constitucionales para la privacidad y la proteccin de datos; se han presentado propuestas para ampliar los derechos de proteccin de datos y una nueva Comisin ha sido designada para revisarlas. proteccin de datos integral, pero existen planes para enmendarla, particularmente para transferencias a terceros pases y mercadeo directo. leyes adicionales regulan el uso de informacin personal por parte de la polica, en exmenes y tratamientos mdicos y seguridad social. el regulador es independiente, aunque con poderes limitados para imponer multas; y se le han otorgado nuevos poderes en aos recientes, las ltimas promesas de parte del Gobierno an no se les ha dado seguimiento. el regulador es importante en el desarrollo de polticas en el pas y es un lder internacional. la diseminacin de la vigilancia de carreteras est en crecimiento. los serios problemas con la jurisprudencia en casos de transgresiones a los derechos de autor han reducido la privacidad de los abonados a los proveedores de servicios de Internet. las agencias de inteligencia no requieren rdenes judiciales para la vigilancia de comunicaciones. existen muchas propuestas para otorgar mayores poderes de vigilancia a las fuerzas del orden. la polica tambin vigila las actividades de las redes sociales a travs de un piloto. el Parlamento rechaz salvaguardas adicionales para retencin de datos; el periodo de retencin fue fijado en 18 meses, pero reducido luego a 12 meses. la Ley de Video Vigilancia permite que las imgenes sean retenidas por cuatro semanas. notable victoria para la proteccin de la privacidad por parte de la sociedad civil la cual hizo retroceder una poltica de medidores inteligentes. pasaportes biomtricos en los cuales se puedan incluir datos biomtricos y el gobierno desea almacenar los datos en una base de datos central. la vigilancia sobre viajes se est ampliando significativamente, con una retencin de datos por un periodo de siete aos. planes para archivos electrnicos de pacientes estn siendo puestos en prctica con el surgimiento significativo de preocupaciones. el uso de identificadores para transacciones financieras ha atrado la atencin del regulador.
110
ha ratificado el Convenio sobre Ciberdelincuencia. ADN: obtenido de cualquiera convicto o sospechoso de un delito registrable; los perfiles se mantienen hasta que el convicto tenga 100 aos, los datos de los sospechosos son eliminados una vez absuelto; las muestras se retienen de manera similar.
Polonia
Valoracin: las cortes y el regulador son enrgicos protectores de la privacidad pero el Gobierno est presionando fuertemente a favor de amplios proyectos de vigilancia y una supervisin limitada. existe proteccin constitucional a la privacidad, la privacidad de las comunicaciones y la proteccin de datos, y tambin hay una floreciente jurisprudencia en este tema. las penalidades de la ley integral se consideran en gran medida inefectivas. las personas cuentan ahora con el derecho para retirar su consentimiento en cualquier momento. las leyes sectoriales se aplican a la informacin mdica, las telecomunicaciones, el cdigo laboral y a los seguros. el regulador es designado por el Parlamento. los registros generalmente requieren de rdenes judiciales expedidas por una corte o por el fiscal; aunque la mayora de los registros se realizan por razones de "urgencia" sin una autorizacin. la interceptacin de comunicaciones es conducida con una supervisin limitada, y en gran nmero (aunque las cifras oficiales no se publican). varias iniciativas han sido propuestas para ampliar las capacidades de vigilancia; las autoridades policiales y anticorrupcin estn obteniendo cada vez ms poder para acceder a los datos. el periodo de retencin para datos de comunicaciones es de 24 meses; originalmente se pidi un periodo de retencin de 15 aos, pero dicha propuesta fue rechazada por una comisin parlamentaria. el acceso a datos est restringido a la polica, las agencias de seguridad nacional, y las autoridades judiciales; aunque no existe un umbral legal para obtener el acceso. hubo un escndalo reciente en el cual 10 periodistas se hallaban bajo vigilancia por parte de los servicios secretos para identificar a sus informantes. no ratific el Convenio del Consejo de Europa. debate creciente sobre el uso de sistemas de Circuito Cerrado de Televisin (CCTV), pero no existe ninguna regulacin sobre su uso. el sistema de identificacin sigue siendo el que cuenta con la mayor coleccin de datos personales; datos biomtricos se incluirn este ao. anteriormente no exista una regulacin sobre vigilancia en el centro laboral, aunque las cortes haban intervenido. los registros mdicos estn protegidos por ley y en particular los registros de enfermedades mentales. las autoridades tributarias tienen amplio acceso a informacin financiera.
111
Portugal
Valoracin: informacin insuficiente sobre vigilancia e inteligencia considerando la historia de abusos, pero las enrgicas medidas constitucionales y legales son promisorias y las salvaguardas estn emergiendo en los planes de vigilancia. existe proteccin constitucional a la privacidad, el secreto y la proteccin de datos. la ley integral se aplica ampliamente. el regulador es una agencia independiente que informa al Parlamento; nmero pequeo de quejas, aunque estn incrementndose al igual que las multas. el regulador conduce programas de sensibilizacin. antecedentes de espionaje poltico ilegal; muy poca informacin para evaluar la vigilancia de las comunicaciones. poltica de retencin de datos por un periodo de 12 meses. los sistemas de Circuito Cerrado de Televisin (CCTV) requieren de un regulador; actualmente se estableci una ley, que est expandiendo su uso. la cdula de identificacin nacional tiene un diseo especfico y utiliza polticas para proteger la privacidad; la tarjeta puede contar con huellas dactilares pero slo puede ser accedido con consentimiento o a solicitud de la polica y de funcionarios judiciales. la vigilancia en el centro laboral est permitida; la vigilancia a nivel nacional del ausentismo laboral, durante las huelgas nacionales, ha causado cierta controversia; el uso de datos biomtricos en el centro laboral est regulado por ley. se han implantado salvaguardas en los planes nacionales de salud. no ha ratificado el Convenio sobre Ciberdelincuencia.
Repblica Checa
Valoracin: eventos positivos debido al trabajo arduo de la sociedad civil y del regulador nacional; aunque todava existen regmenes legales problemticos a pesar del trabajo, p.ej. vigilancia de comunicaciones, Circuito Cerrado de Televisin (CCTV), cdulas de identificacin (ID). la Carta de derechos y libertades bsicas estipula el derecho a la privacidad y la dignidad humana, la proteccin de las comunicaciones y asimismo una clusula de proteccin de datos. la ley de proteccin de datos est armonizada completamente y contiene protecciones adicionales debido a las enmiendas, entre ellas las de registro de comunicaciones. el regulador puede imponer multas por hasta 820,000 y conducir auditoras. el nmero de quejas est creciendo, el nmero de casos desestimados es muy alto. el regulador tiene autoridad supervisora sobre el uso de las fechas de nacimiento, a pesar de su continuo abuso. el regulador ha conducido un gran nmero de ejercicios de sensibilizacin.
112
la interceptacin de comunicaciones es autorizada por un juez de una corte superior, incluso si se realiza por las agencias de inteligencia (aunque todava existen preocupaciones sobre abusos) y existe un requerimiento de notificacin una vez que sea cerrado el caso. debido a las quejas sobre una poca supervisin de la vigilancia de comunicaciones, nuevas protecciones se introdujeron en 2009. todava hay intentos de ampliar los poderes de las agencias de inteligencia. la poltica de retencin de datos por 12 meses fue cambiada para introducir la retencin gradual para distintas formas de datos; y el alcance de su uso es expansivo, no existe supervisin. lider la iniciativa para firmar acuerdos con los Estados Unidos de Amrica para la transferencia de datos de pasajeros. creciente uso de Circuitos Cerrados de Televisin (CCTV), el regulador tiene poderes insuficientes para regular esta actividad, con una fuerte oposicin del pblico contra estos sistemas. los pasaportes biomtricos incluyen el rostro y datos de las huellas dactilares. las cdulas de identificacin se estn utilizando de manera creciente en el da a da. tarjetas "annimas" con tecnologa de identificacin por radio frecuencia (RFID) ahora estn disponibles para viajar por Praga. existen varios registros mdicos, con un status legal incierto; el Presidente utiliz su poder de veto para una ley que expandira el uso de los nmeros de la fecha de nacimiento, pero este veto fue anulado. la ley de vigilancia financiera se introdujo para limitar el privilegio abogadocliente y los defensores ahora deben obligatoriamente informar sobre transacciones sospechosas. existen fuertes grupos de la sociedad civil. no ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa. el ADN de todos los convictos y los perfiles se mantienen por ocho aos y las muestras son retenidas tambin por este periodo.
Rumania
Valoracin: el regulador con pocos recursos es apoyado por notables fallos de la Corte Constitucional. Algunos eventos preocupantes en la vigilancia de ADN y la reciente historia de abusos muestran que los servicios de seguridad requieren una gran supervisin. la Constitucin reconoce la privacidad y la confidencialidad de las comunicaciones; recientes casos en la Corte Constitucional han sido importantes en la defensa de de la privacidad. existe una ley integral de proteccin de datos, con otra ley sobre privacidad de las comunicaciones. los nuevos cambios en el Cdigo Civil tambin protegen la privacidad. existe un rgimen separado para la privacidad audiovisual. el regulador ha sufrido recortes en su presupuesto que le impiden contratar un equipo de personal completo y lo limitan para conducir investigaciones fuera de Bucarest.
113
el regulador ha tomado una firme posicin en varios casos. el rgimen de vigilancia de las comunicaciones requiere de autorizacin del Presidente de la Corte, y slo se autorizan interceptaciones por 30 das, renovables slo por 120 das. la vigilancia intrusiva es permitida slo si el crimen es punible por siete o ms aos en prisin. varios casos han surgido con el servicio secreto que espiaba a los periodistas y a otras figuras pblicas. alto nivel de interceptaciones en aos recientes. periodo de retencin de seis meses para trfico de comunicaciones fue apelado a la Corte Constitucional la cual determin que ste transgreda la Constitucin Rumana. el uso de los sistemas de Circuito Cerrado de Televisin (CCTV) est creciendo en la medida en que ste no est regulado. los pasaportes biomtricos implican la recoleccin de las 10 huellas dactilares. ratific el Convenio sobre Ciberdelincuencia. ADN: obtenido en innumerables casos, y slo eliminados por decisin judicial o por decisin del fiscal; las muestras se retienen.
Suecia
Valoracin: debido al surgimiento de controversias sobre la ley de interceptaciones, algunas protecciones mejoraron, pero en general han ocurrido eventos preocupantes y se hace necesaria supervisin a los servicios de seguridad. la Constitucin sirve de cimiento a la proteccin de la privacidad a travs de la ley habilitante; han habido llamados para una proteccin constitucional y el Parlamento sueco vot a favor de la propuesta (aunque de menor alcance), prohibiendo intrusiones "significativas". la ley de proteccin de datos ha sido enmendada debido a preocupaciones por considerarse "muy restrictiva", eliminando textos, sonidos, imgenes y otros "materiales no estructurados" de la Ley de Datos Personales. algunas protecciones sectoriales han ampliado las protecciones a la privacidad, p.ej. la privacidad de la informacin crediticia se ha incrementado por ley en 2010. el regulador es una agencia gubernamental pero "realiza sus funciones de manera independiente"; ha tomado posturas enrgicas en varios temas, p.ej. ha objetado el uso de datos biomtricos en los colegios incluso con consentimiento; el mercado directo y las tarjetas de fidelizacin; aunque se cree que su mandato es muy limitado. en discusin: la necesidad de un regulador de la "privacidad", el gobierno cre, en vez de ello, una comisin para vigilar y controlar el uso de vigilancia secreta por parte de la polica y de los servicios de seguridad; el primer comisionado renunci debido al caso de la Administracin Nacional de Transmisiones de Radio con fines de Defensa (FRA). en principio se requiere de una orden judicial para la interceptacin de comunicaciones, pero se les concede a los servicios secretos gran flexibilidad; las escuchas telefnicas se han incrementado en 500% desde 1999.
114
se le permite a la FRA el utilizar software para procesamiento de datos para buscar palabras claves en todas las comunicaciones por telfono y por correo electrnico que pasan a travs de las fronteras del pas; esta disposicin fue posteriormente enmendada debido a preocupaciones vinculadas con la privacidad, colocando a la FRA bajo investigacin poltica y disponiendo que se soliciten permisos para cada registro. a pesar de haber presionado para la retencin en la Unin Europea, Suecia la pas mal implantando una ley en ese sentido despus del la controversia surgida por el caso de la FRA. existen normas legales relacionadas al sistema de Circuito Cerrado de Televisin (CCTV), aunque su liberalizacin ha conducido un incremento considerable en el uso de CCTV; que incluso ahora se utiliza en los colegios. los pasaportes biomtricos no incluyen huellas dactilares. el plan de cdulas de identificacin electrnicas es voluntario e incluye datos biomtricos (faciales). a pesar de las recomendaciones de parte de un Comit encargado por el gobierno, no han surgido normas sobre privacidad en el centro laboral; aunque aparentemente la vigilancia no impera. la propuesta para centralizar los registros mdicos ignora las preocupaciones vinculadas con la privacidad; el regulador introdujo disposiciones de cmo se debe procesar la informacin; un cambio legislativo les puso a stas una base legal, pero tambin permiti su publicacin en Internet. ADN: obtenido de convictos y sospechosos de delitos que pueden ser penalizados con cuatro o ms aos; los perfiles de los convictos se conservan por periodos distintos dependiendo del delito, y aquellos de los sospechosos se eliminan una vez que hayan sido absueltos; las muestras se conservan de manera similar. No ha ratificado el Convenio sobre Ciberdelincuencia del Consejo de Europa.
Suiza
Valoracin: protecciones tradicionales fuertes pero que estn siendo degradadas en los ltimos aos, con un ambicioso espionaje, dbil regulacin de los servicios secretos, entre ellas prximas deliberaciones sobre ampliaciones en vigilancia de las comunicaciones. Los reguladores estn realizando un buen trabajo pero se ven limitados por los recursos. proteccin constitucional para la privacidad, las comunicaciones y la proteccin de datos, con alguna muy convincente jurisprudencia. la ley federal integral slo requiere que se registren las compaas que utilizan datos sensibles o que transfieren informacin al extranjero. enmiendas importantes se introdujeron para exigir una seguridad adecuada y para limitar los vacios. protecciones adicionales para estadsticas sobre salud, datos mdicos y legales e investigaciones mdicas. el regulador a veces tiene posibilidades limitadas de intervenir; tiene que lidiar con volmenes significativos de quejas a pesar de sus limitados recursos; los
115
reguladores en los cantones tambin cuentan con recursos limitados; pero a menudo se toman decisiones notables. se han tomado medidas drsticas sobre las interceptaciones de comunicaciones legales; aunque la vigilancia de las comunicaciones se ha expandido en 2007 por parte de los servicios secretos. existe un periodo de retencin de seis meses; pero el gobierno se halla en consultas para expandirlo a 12 meses; instalacin de Troyanos, gusanos, etc., para vigilar las comunicaciones cifradas; se exige identificacin para acceder a los servicios de comunicacin, incluso en cafeteras y hoteles. la privacidad financiera est protegida por una ley de 1934, pero recientemente se han estado reduciendo estas protecciones. se est ampliando el uso de sistemas de Circuito Cerrado de Televisin (CCTV) e incluso el uso de aviones radiocontrolados (drones). los cambios en la emisin de pasaportes significa que todos los pasaportes nuevos contendrn dos huellas dactilares y existe una base de datos de huellas dactilares. se han instituido controles "mviles " de inmigracin. las nuevas cdulas de identificacin contendrn huellas dactilares. hay planes para implantar una identificacin para salud obligatoria que voluntariamente incluir el almacenamiento de informacin mdica. una creciente base de datos de ADN para un nmero ampliado de propsitos (la lista de delitos con las razones por las cuales sta poda ser obtenida, ha sido eliminada). el ADN puede ser utilizado para propsitos vinculados a seguros.
Turqua
Valoracin: la informacin limitada de este pas debe interpretarse como una falta de progreso en el desarrollo de estructuras adecuadas y mecanismos de reporte. protecciones constitucionales de la privacidad y de la vigilancia de las comunicaciones; existen propuestas para aadir la proteccin de datos. la ley de proteccin de datos ha estado pendiente desde 2003 y a pesar de ello cuenta con algunas lagunas legales. por ahora, la privacidad est regulada en el Cdigo Civil, en l se regula el mal uso de la informacin; otras protecciones sectoriales consideran temas de privacidad; pero se carece de una regulacin integral y del establecimiento de definiciones. los informes establecen que los defensores de derechos humanos son sometidos rutinariamente a vigilancia. se necesitan rdenes judiciales para la interceptacin de comunicaciones, lo cual ha generado preocupaciones en la comunidad de inteligencia nacional planes para cdulas de identificacin incluiran huellas digitales slo en la identificacin misma pero no en una base centralizada; aunque sta contiene la filiacin religiosa.
116
Reino Unido
Valoracin: en la ltima dcada este pas se ha vuelto en uno de los peores ejemplos de vigilancia entre los estados democrticos, pero ha habido algunos cambios notables y significativos en el pasado ao que pueden probar que es posible superar la categora de estado vigilante. no existe una proteccin constitucional a pesar de una rica historia de privacidad. la ley de proteccin de datos ha sido criticada por su debilidad; aunque se le han hecho mejoras, el regulador recibe muchas quejas, lo que demuestra que la concientizacin del pblico es alta; pero sus decisiones han indicado timidez que a menudo es percibido como "debilidad". al regulador se le han otorgado grandes poderes y capacidades significativas para imponer multas. amplios programas de vigilancia de bases de datos y redes han sido introducidos en la pasada dcada, aunque algunos estn siendo desmantelados. un ms amplio uso de vigilancia visual, contempla la vigilancia de voz y est enfocada en la vigilancia visual en poblaciones especficas. dbil rgimen regulatorio sobre acceso a datos con un amplio uso de estos poderes. la ley de interceptacin de comunicaciones slo requiere de una aprobacin ministerial con un mecanismo de supervisin pobremente dotado a travs de un "comisionado". las propuestas de sistemas informticos de salud han evitado instrumentar salvaguardas adecuadas. cuentan con la base de datos de ADN ms grande del mundo, aunque perdi un caso en la Corte Europea de Derechos Humanos que est conduciendo a un cambio en su poltica (a pesar del hecho que la decisin se tom en 2008 y actualmente todava persiste su poltica); el ADN se toma de convictos de delitos registrables, o de cualquier arrestado por un delito registrable; los perfiles se retienen de manera indefinida; las muestras se retienen.
Unin Europea
Valoracin: a pesar de contar con marcos legales lderes a nivel mundial y de un gran potencial para la innovacin, la agenda de seguridad est invalidando algunos de los principios bsicos de la Unin. las obligaciones del tratado ahora incluyen la proteccin de los derechos humanos, de la privacidad as como de los derechos de proteccin de datos; los fallos del Tribunal de Justicia de la Unin Europea en el rea de la privacidad son dbiles y tienden a ignorar temas sustantivos. la ampliacin de la Directiva a otras reas de procesamiento, esto es, al tradicional "tercer pilar" de la justicia y a los asuntos internos es un evento deseable. el rol de liderazgo de la Unin Europea es impresionante, pero a la vez est dando un mal ejemplo.
117
esfuerzos concertados para elevar la agenda de seguridad, es decir, el Programa de Estocolmo. la Directiva de retencin de datos fue la lder en legislacin sobre vigilancia. los estndares para pasaportes crearon un mandato para tomar las huellas dactilares de prcticamente toda la poblacin. la administracin de informacin de fronteras y las prcticas de vigilancia se estn incrementando, as como el financiamiento para investigar en esta rea. trabajo ejemplar del regulador y de las autoridades regulatorias.
118
CRITERIOS E INDICADORES
Se han analizado cada uno de los pases de acuerdo a los siguientes criterios:
SALVAGUARDAS DEMOCRTICAS
El marco de participacin, obligacin de dar cuenta, e imperio de la ley, le permite a una nacin nutrir y proteger derechos. Una sociedad abierta y democrtica es posiblemente la mayor protectora de la privacidad. Cuando un Estado es capaz de rendir cuentas a sus ciudadanos, este debe justificar sus decisiones de vigilancia, y debe necesariamente cambiar sus prcticas cuando los ciudadanos lo demandan, entre otros, por medio de las instituciones democrticas entre ellas la participacin abierta, los medios de comunicacin y el debate pblico, acceso a los legisladores y las cortes. Hemos utilizado la reciente clasificacin de The Economist sobre el estado de la democracia alrededor del mundo. Hemos utilizado el ndice de Democracia de The Economist de 2010 para calibrar la fortaleza de la naturaleza democrtica de un Estado.
PROTECCIN CONSTITUCIONAL
La Constitucin es la roca madre que estabiliza el marco democrtico pero que tambin provee la garanta del uso continuo de los derechos. La capacidad de recurrir a los principios fundamentales de un Estado y demostrar que la prctica de la vigilancia es incompatible con los intereses del gobierno de no interferir con la vida privada de las personas. Muchos Estados han ido ms all de slo establecer el derecho a la vida privada, sino que tambin incluyen clusulas especficas sobre la proteccin de las comunicaciones. En un nmero creciente de pases tambin existe un derecho constitucional a la proteccin de datos personales. Una prueba clave de la fortaleza de estos principios se da al momento en que un tribunal falla en casos en los que el gobierno ha ido muy lejos, y la naciente jurisprudencia contribuye a respaldar futuras demandas. Un pas cualquiera puede que no tenga siquiera un derecho a la privacidad diferenciado, pero los tribunales podran haber interpretado la existencia del derecho de la privacidad partiendo de los "derechos fundamentales" o de los principios de la "proteccin de la dignidad" establecidos en muchas constituciones. Existe una Constitucin y sta protege a la privacidad, incluso "bajo la sombra" de otros derechos? Existen otras protecciones, p.ej. derecho a la proteccin de datos y de las comunicaciones privadas? Los tribunales han defendido el derecho a la privacidad? Han habido casos recientes?
PROTECCIN LEGAL
Las leyes son la expresin del compromiso del gobierno frente a los derechos y las libertades de sus ciudadanos y le dan vida a los principios constitucionales. stas
119
tienden a darse en la forma de una ley de Proteccin de Datos, la cual en Europa es a menudo consistente con la Directiva de la Unin Europea sobre Proteccin de Datos (95/46/EC), al proteger la privacidad de la informacin tanto en el sector pblico como privado. A menudo los pases cuentan con leyes adicionales que se aplican a tipos especficos de informacin o de sectores, p.ej. la informacin mdica, la ley laboral, etc. La caracterstica ms importante de una ley es que permite a las personas obtener una reparacin en caso de algn perjuicio. Existen leyes que protegen el derecho a la privacidad frente a los gobiernos y las compaas? Existen leyes sectoriales, p.ej. de privacidad mdica, privacidad en el centro laboral, privacidad financiera? Son estas leyes tiles para iniciar acciones judiciales?
LA PRIVACIDAD EN LA PRCTICA
Para que cualquier ley protectora sea efectiva, su cumplimiento debe ser necesariamente contundente pero justo. Ello a menudo se logra con un regulador al que se le otorga jurisdiccin sobre la ley, p.ej. una ley de proteccin de datos, una ley del consumidor, etc., y que ste pueda entonces ayudar a las personas, conducir investigaciones y penalizar el incumplimiento. No todos los reguladores son iguales, pues algunos se preocupan de generar conciencia sobre su funcin y por tanto les recuerdan sus derechos a los ciudadanos. Otros hacen hincapi en su trabajo con el gobierno y la industria, para concientizarlos sobre sus deberes para con la ley. Estos reguladores deben necesariamente tener suficientes poderes para investigar y penalizar, ser independientes del gobierno, promover el conocimiento de derechos y responsabilidades. Existe un regulador independiente y competente? Existe un organismo regulador con suficientes poderes para investigar? Este regulador puede actuar proactivamente? El regulador acta de manera eficaz? El nmero de quejas es significativo? Los casos han sido conducidos a travs de los sistemas administrativos y legales?
LIDERAZGO
Algunos pases muestran un liderazgo positivo al promover enrgicas protecciones a la privacidad alrededor del mundo. Otros gobiernos actan de manera regresiva promoviendo malas polticas y sistemas de vigilancia. El gobierno o el regulador han dado pasos significativos en relacin a iniciativas de proteccin de la privacidad que hayan conducido a otros pases a considerar hacer lo mismo? El gobierno ha suscrito y ratificado tratados internacionales problemticos?
120
CDULAS DE IDENTIFICACIN Y DATOS BIOMTRICOS

La exigencia impuesta por el Estado de identificacin puede ser el cimiento de una invasin sin lmites de derechos humanos. La fusin de la persona con la maquinaria del Estado a travs de los datos biomtricos puede irrevocablemente agravar estas violaciones. Estos sistemas son raramente diseados para proteger las libertades civiles y en cambio han sido histricamente vinculados con grandes transgresiones de los derechos humanos. No todos los sistemas de cdulas de identificacin se construyen de igual manera; algunos son meramente documentos impresos, otros incorporan medidas tales como microprocesadores inteligentes o tecnologas sin contacto, para permitir el intercambio y la vinculacin de informacin. Recientemente, algunas estn aceptando el uso de datos biomtricos, el registro de patrones faciales o huellas dactilares. El ms peligroso de estos sistemas combina todas estas tcnicas y luego almacena los datos en un registro centralizado, el cual a su vez permite un mucho mayor intercambio de datos. Existe algn sistema de identificacin nacional, incluye ste datos biomtricos? stos son instrumentados en formas tales que protejan la privacidad o en otras que acenten la vigilancia? Hay un debate adecuado acerca de la naturaleza de estos datos biomtricos o existe una fe ciega en la tecnologa y en las obligaciones internacionales?
INTERCAMBIO DE DATOS
La privacidad se protege de la mejor manera cuando la informacin puede ser confinada para fines individuales justificables. El mantener la informacin en compartimentos estancos garantiza que el gobierno nunca tenga dominio sobre las vidas de las personas. Tradicionalmente la informacin mantenida por los gobiernos se ha mantenido en registros separados: p.ej. un archivo de tributacin se mantiene separado de un archivo mdico. De manera creciente los gobiernos estn entusiasmados en encontrar nuevas formas de concentrar informacin de todas las dependencias gubernamentales. Pueden hacer eso con diferentes propsitos, p.ej. combinar los registros de asistencia sanitaria con aquellos de verificacin del status migratorio. La privacidad se protege de la mejor forma cuando existen fuertes barreras de proteccin entre estas fuentes de informacin, dado que fueron recolectadas con un propsito y no deben ser utilizadas para otro. Existen leyes protectoras frente al uso de informacin para propsitos secundarios? El gobierno ha establecido planes para disminuir las protecciones existentes?
VIGILANCIA VISUAL
La vigilancia visual electrnica se est volviendo cada vez ms entorno. La fusin entre sistemas de comunicacin y software oportunidades para rastrear, generar perfiles y discriminar. El propagacin de la vigilancia visual han sido impresionantes en
121
ubicua en nuestro presentan grandes crecimiento y la los ltimos aos.
Anteriormente, la vigilancia visual fue utilizada escasamente; ahora la vigilancia visual est siendo utilizada en ms lugares, con menores restricciones. A pesar de que muchas investigaciones criminolgicas muestran que los actuales sistemas tienen poco efecto en el crimen y son proclives a que se comentan abusos con ellos. En qu medida existen sistemas de vigilancia visual en los sectores pblico y privado? Estn stos regulados y sus limitaciones se cumplen? Cul es la naturaleza del debate de polticas?
INTERCEPTACIN DE COMUNICACIONES
La interceptacin en general es considerada entre las formas ms intrusivas de vigilancia. Los pases que entiendan esto la implantarn bajo una ley con condiciones extremadamente estrictas y se aplicarn rigurosos controles. La interceptacin debe realizarse con moderacin una vez que otros mtodos de investigacin hayan sido probados, y hayan fallado; y sta sea autorizada por un juez imparcial, con supervisin habitual de las actividades de las agencias estatales. Cada vez ms, los gobiernos estn haciendo uso de vigilancia no autorizada. Existen leyes adecuadas que ofrecen proteccin frente a los abusos? Cundo puede interceptar la polica? p.ej. slo cuando se estn investigando tipos especficos de delitos, "delitos graves", etc. Las agencias de seguridad estatales tiene que seguir las mismas reglas? Quin las autoriza? un juez? un poltico? (las "rdenes judiciales" no significan lo mismo en todos los pases, donde los jueces tiene poderes de investigacin, pero hacemos todo lo posible para hacer notar esto)
RETENCIN DE DATOS DE COMUNICACIONES

Una de las polticas ms perniciosas de Europa, la retencin de los datos de trfico de comunicaciones a escala poblacional, significa que a los proveedores de telecomunicaciones y los proveedores de servicio de Internet se les exige retener registros de con quin se comunica la gente y qu hace sta en lnea por hasta dos aos, esto en el caso, que algunas personas se vuelvan sujeto de inters del Estado. Existe una ley de retencin? Si es as, por cunto tiempo deben ser mantenidos los datos de comunicaciones? Ha habido alguna consideracin de los diferentes tipos de informacin y de cmo los periodos de retencin deberan cambiar? Ha habido alguna deliberacin detallada sobre la poltica? p.ej. consultas, compromiso de la industria, casos en tribunales.
ACCESO GUBERNAMENTAL A DATOS
122
Los gobiernos se facultan a s mismos para tener acceso a los datos mantenidos por compaas e individuos. Muy a menudo hacen ello sin exigir a la polica y las agencias de seguridad a obtener la autorizacin de un juez, y nunca le dicen a la persona que sus datos personales fueron accedidos por el Estado. Qu facultades tienen las distintas agencias para tener acceso a archivos? Existe salvaguardas sobre cmo las fuerzas del orden obtienen acceso a los datos en bases de datos del sector privado?
VIGILANCIA EN EL CENTRO LABORAL

La evolucin de las prcticas de administracin y de seguros ha motivado a los empleadores a instituir una vigilancia a nivel de saturacin en el centro laboral. Los contratos de empleo permiten a los empleadores establecer una vigilancia integral y continua de los empleados. Los empleadores a menudo intentan obtener acceso a informacin de antecedentes de sus empleados y de potenciales empleados, a menudo hurgando en los detalles ms ntimos. De manera creciente, los empleadores tambin estn vigilando las actividades en el trabajo, utilizando vigilancia de audio y video, interceptando las comunicaciones, y vigilando las interacciones en Internet. Algunos buscan colectar datos biomtricos. Los Estados a menudo cuentan con protecciones legales frente a la vigilancia en el centro laboral, y algunos han ido ms all al prohibir tipos especficos de tecnologa y de recoleccin de datos, a medida que reconocen que los empleados afrontan un desbalance de poder frente a su empleador y las formas tradicionales de "consentimiento" pueden no ser aplicables a este tipo de relacin. Existen leyes de proteccin frente a abusos? Existen casos judiciales y mtodos para que los empleados puedan objetar estas prcticas? Existen guas publicadas por el regulador o alguna otra institucin para informar a los empleadores y empleados?
PRIVACIDAD MDICA
Las personas estn ms preocupadas sobre la privacidad de su informacin mdica ms que cualquier otro aspecto de sus vidas. A pesar de ello los gobiernos estn explotando de manera creciente los datos mdicos de sus ciudadanos. Lo que fue alguna vez informacin mdica confidencial es ahora un recurso para ser colectado, analizado y compartido. Algunos Estados cuentan con leyes que protegen la informacin recolectada en la prestacin de asistencia sanitaria. Otros Estados, cuentan con leyes que obligan el intercambio de esta informacin. De manera creciente, los Estados estn buscando desarrollar sistemas electrnicos que puedan recolectar, procesar y almacenar de manera centralizada toda esta informacin tan sensible. Los pacientes tienen control sobre su informacin mdica?
123
Existen salvaguardas y protecciones contra usos secundarios y otros? Existen planes para desarrollar un registro centralizado de pacientes? Existen salvaguardas sobre cmo se recolectar y utilizar la informacin?
PRIVACIDAD FINANCIERA
En los ltimos aos, el perfil financiero de las personas se ha vuelto un recurso abierto para los gobiernos y las compaas. Rastros auditados de comportamiento financiero son compartidos de manera rutinaria en los gobiernos y el sector empresarial con poca o ninguna distincin entre los mismos. El vigilar las cuentas bancarias, las transferencias internacionales, y el estado de las finanzas de uno es de inters tanto del Estado como de la industria. Ambos desean saber sobre hbitos y compras, mientras que el Estado tambin desea exigir la revelacin de esta informacin para identificar el lavado de dinero, pero tambin para identificar posibles fuentes de fraude, o incluso de ingresos fiscales. A veces, los Estados requieren de una revelacin sistemtica de informacin financiera, ya sea a travs de la publicacin de devoluciones tributarias, o la recoleccin de todas las transacciones sospechosas. Existen protecciones acerca del acceso gubernamental a informacin financiera? Existen salvaguardas acerca de otros usos de la informacin financiera por parte del sector privado?
PRIVACIDAD FRONTERIZA
Las fronteras se estn convirtiendo actualmente en zonas libres de la influencia de las constituciones y donde los gobiernos pueden hacer lo que quieran. Los Estados estn introduciendo medidas para recolectar grandes cantidades de informacin de todos los viajeros, tanto ciudadanos como visitantes, con la justificacin de "asegurar" las fronteras. Actualmente los Estados estn introduciendo medidas, inspiradas por la Administracin Bush, para recolectar las huellas dactilares de todos los viajeros, as como informacin de inteligencia de los registros de su reserva de boletos areos con el fin de hacer perfiles de pasajeros. El gobierno ha realizado la confeccin de perfiles en las fronteras o ha empezado a recolectar datos de pasajeros? El gobierno est recolectando datos biomtricos en las fronteras? El gobierno ha iniciado acuerdos con otros gobiernos para compartir informacin?
SUPERVISIN DE LA VIGILANCIA Y DE LOS SERVICIOS DE INTELIGENCIA

Muchos gobiernos estn permitiendo a sus servicios de seguridad el eludir las protecciones constitucionales y legales y las salvaguardas. La carta de triunfo de la
124
"seguridad nacional" est actualmente siendo utilizada tan comnmente como la de "terrorismo" para justificar futuros abusos al debido proceso y al estado de derecho. La historia muestra que la vigilancia secreta, por parte de los servicios de seguridad, ha causado mucho dao y conduce a abusos. Muchos gobiernos estn volviendo a estas prcticas y estn permitiendo a sus servicios de seguridad el eludir las protecciones constitucionales y legales, as como las salvaguardas, evitar las solicitudes de rdenes, impedir la supervisin y exceptuando a estas agencias de los alcances de la ley. Las agencias de seguridad nacional estn exceptuadas de los alcances de las leyes sobre privacidad? Existen mecanismos adecuados de informacin y supervisin de la vigilancia secreta? Ha habido casos de abuso? y si as ha ocurrido, se han puesto en prctica salvaguardas adecuadas para estos casos?
ADN
Muchos pases actualmente imponen la recoleccin de muestras de ADN y la generacin de perfiles de ADN para personas inocentes las cuales no han sido acusadas o para aquellas en investigaciones pequeas, y luego retienen sus perfiles y muestras por amplios periodos de tiempo, a veces indefinidamente. A pesar de que la Corte Europea de Derechos Humanos ha fallado contra esta prctica, muchos pases ignoran a propsito la necesidad de salvaguardas y protecciones. Consultamos al Consejo de Gentica Responsable para desarrollar este ndice. Existen limitaciones bajo cuyas circunstancias puede ocurrir la recoleccin de ADN? p.ej. limitado a convictos y a delitos graves? Cundo se eliminan los datos? Existe algn intercambio de datos? Qu ocurre con las muestras de ADN una vez que se han generado los perfiles?
125
RESULTADOS
126
METODOLOGA
ACERCA DE NUESTRO ENFOQUE ANALTICO
La metodologa para nuestro anlisis y clasificacin de pases est basada en una evaluacin cualitativa de datos de investigacin producto en su mayora de los informes nacionales del EPHR 2010. El EPHR 2010 consta de ms de 750 pginas de informes realizados por expertos a lo largo de Europa. Estos son expertos en materia legal, tecnolgica y acadmica a quienes se les solicit contribuir a actualizar el texto existente de informes de aos anteriores, y aadir informacin bajo cierto nmero especfico de categoras. Estas categoras entonces sustentan los criterios para las clasificaciones. La investigacin fue complementada por la propia investigacin del equipo de Privacy International que hace un seguimiento de los eventos vinculados a la privacidad alrededor del mundo. Tambin contamos con una red de miembros de nuestro Consejo Consultivo y colegas en los pases en Europa, as como una relacin con varios funcionarios de regulacin quienes nos guiaron cuando encontramos dificultades en la recoleccin de informacin. Tambin fuimos capaces de identificar otros estudios de investigacin que se haban enfocado en temas de privacidad y derechos humanos que involucran a distintos pases. En especial utilizamos: El "ndice de Democracia 2010" de la Unidad de Inteligencia del The Economist, publicado en Diciembre de 2010, pues este es un slido indicador de la responsabilidad democrtica de cada uno de los Estados incluidos en nuestro estudio. Como resultado de ello utilizamos el estudio de The Economist como la fuente primaria para nuestra categora "Salvaguardas Democrticas". Surgieron dos problemas al confiar en el estudio de The Economist : (1) El estudio de The Economist se bas en una puntuacin con valor mximo 10, mientras que nuestros estudios estuvieron basados previamente en puntuaciones con valor mximo 5. (2) El estudio de The Economist incluy como parte de sus propios criterios la categora de "libertades civiles", de modo que hubo el riesgo de considerar el tema dos veces. El Consejo de Gentica Responsable (Council of Responsible Genetics) (CRG) public un informe en diciembre de 2010 resumiendo su investigacin inicial sobre polticas de bases de datos de ADN alrededor del mundo. Tenemos una relacin laboral muy cercana con el CRG y confiamos en la integridad de su proceso de investigacin. Adicionalmente, cruzamos informacin sobre sus hallazgos por nuestra parte con los informes nacionales del EPHR y encontramos un gran nivel de sinergia en los resultados cuando contamos con informacin sobre bases de datos de ADN en nuestros estudios de cada pas. Notamos un caso en el cual nuestros resultados estaban ms actualizados en
127
eventos recientes, y de similar forma, encontramos un par de casos en los que nuestros informes nacionales no estaban tan al corriente como en el caso del estudio del CRG. Igualmente confiamos en varias investigaciones encargadas por la Comisin Europea sobre la divergencia entre las leyes sobre privacidad y el trabajo de los reguladores para incrementar la conciencia sobre la privacidad. Ello nos ayud a pensar en los criterios.
CAMBIOS A NUESTRO ENFOQUE

Esta es la tercera vez que estamos conduciendo una comparacin/anlisis entre pases sobre las protecciones a la privacidad. Cada vez desarrollamos mtodos ms sofisticados para el anlisis y la evaluacin de la privacidad y la vigilancia. Consultamos con expertos y consejeros a nivel mundial de manera regular con el fin de desarrollar y mejorar nuestra metodologa. El primer cambio en nuestro enfoque, y quizs el ms significativo, es que este estudio slo se concentra en pases europeos. Ello no fue intencional la naturaleza del financiamiento que recibimos fue tal que slo contbamos con los recursos para ocuparnos de pases europeos. Un efecto colateral de este cambio es que estos pases tienen un rgimen legal muy similar y necesitamos encontrar un mtodo ms refinado para identificar las diferencias entre pases. Otro cambio significativo en este estudio es que nos hemos cambiado de un sistema de cinco puntos a uno ms complicado. Aunque fue til para emparejarse con el del estudio de The Economist, este no fue el propsito inicial del cambio. Mas bien, condujimos tambin una revisin de la literatura sobre comparaciones entre pases realizadas en temas de derechos humanos e identificamos varias crticas. En aos anteriores la fundamentacin detrs de nuestras evaluaciones fue un tanto opaca. Esta es una crtica comn a dicho tipo de estudios por el hecho de que es difcil explicar porque un grupo de expertos evaluara un pas como si tuviera un tipo x de protecciones pero otro pas como si tuviera y protecciones. Esta fue una crtica de muchas de las otras investigaciones en esta rea. En consecuencia, en vez de slo confiar en las evaluaciones de varios expertos sobre los mritos del sistema de un pas determinado, como se advierte en los Informes Nacionales del EPHR, decidimos ser ms individuales en nuestras evaluaciones. La introduccin de la individualidad tambin nos permitir captar ms refinamientos dentro de una categora determinada, e incluso contemplar contradicciones dentro del rea de polticas. Por ejemplo, bajo "protecciones constitucionales", un pas dado puede no contar en realidad con una disposicin explcita sobre privacidad dentro de su Constitucin y por tanto anteriormente lo hubiramos calificado negativamente. Un pas puede no tener los trminos correctos en su Constitucin pero sin importar ello los casos pudieron haber sido elevados a la Corte Constitucional y evaluados sobre la base de un derecho a la privacidad. De modo que las Cortes pudieran haber establecido un derecho a la privacidad dentro de los otros derechos fundamentales.
128
Y por ello, incluso en pases con disposiciones constitucionales sobre privacidad, las Cortes podran emitir fallos contra las protecciones de la privacidad. Por tanto necesitbamos cambiarnos a un sistema que pudiera ocuparse de stas dinmicas: dado que la Constitucin no menciona a la privacidad, ello podra haber hecho ms complicado para la judicatura hablar de privacidad, y an a pesar de ello podran hablar a favor de sta y quizs ms que en aquellos otros pases con protecciones especficas. Para ocuparse de stas dinmicas, las cuales son prcticamente inherentes en todas las categoras, desarrollamos una serie de preguntas que se aplican a cada categora y un sistema de valuacin. Juzgaramos al pas en relacin a las distintas sub preguntas en la categora y el pas se valorar: 0 sin salvaguardas o protecciones 1 algunas salvaguarda 2 protecciones avanzadas Este sistema tiene dos riesgos de sesgo. Primero, este tiene un riesgo de sesgo positivo en el hecho que un pas no sea "castigado" por un bajo puntaje en particular pero podra en vez de ello recibir slo puntos nominales en la medida en que no podemos "eliminar" puntos provenientes de los resultados de las otras preguntas que hemos puntuado. Nos parece que vale la pena tener un sesgo a favor de los gobiernos. De hecho, incrementamos este sesgo al permitir un puntaje especial de "2*" 3 puntos para pases con fuertes protecciones particulares en un sub rea que creemos debe ser notado aunque este no necesariamente afecte las otras preguntas dentro de la categora. El segundo sesgo posible es que un pas del cual contamos informacin muy limitada sera juzgado ms severamente que uno del cual tenemos ms informacin. Para mitigar los riesgos de juzgar errneamente a los pases, estuvimos ms deseosos de no aplicar juicio alguno a un pas dentro de la categora si muy poca informacin estuviera disponible. Tambin promediamos las respuestas dentro de la categora basados en la calidad de la informacin. Por tanto, todas las categoras fueron medidas con un valor mximo de 10. Nuevamente, varios expertos revisaron este proceso, y muchas de las decisiones se explican dentro de la seccin de "anlisis" de este informe.
CLASIFICACIN VS. VALORACIN

Tambin hemos abandonado la idea de "clasificaciones", en las cuales se le confiere el "peor" puntaje. Creemos que hay algo valioso en esta prctica, pero sentimos que no encontraramos a los resultados ms interesantes si pudiramos ver las clasificaciones en vez de los nmeros resultantes. Esto es, si un pas A tiene un promedio de 4.2 y un pas B tiene un promedio de 4.5, no podemos garantizar si sera justo decir que el pas A fue el "peor" de esta lista. De manera similar, seramos cuidadosos de decir que el pas B fue "mejor". En vez de ello, es ms valioso ver los matices en cada categora y las similitudes y disparidades entre pases cuando estn categorizados tanto por resultados de criterio como los de promedio. Como tal, creemos que un sistema de "valoraciones" sera ms apropiado.
129
ENFOQUE NORMATIVO
La obvia dificultad de disear preguntas y criterios para las mediciones en cada categora es que ello requiere que seamos ms explcitos en lo que creemos que son "buenas" respuestas a estas preguntas. Esto significa que tenemos que decidir qu es lo que consideramos como un grupo de prcticas aceptables para un Estado democrtico. Estamos por tanto presionados para realizar juicios subjetivos como normativos. Hacemos uso de indicadores objetivos en la mayor medida posible (p.ej. la existencia de leyes, el nmero de casos, los poderes y la extensin de la recoleccin de datos y del acceso). Inevitablemente entonces, tenemos que aplicar un nivel de subjetividad basado en las percepciones de nuestros expertos y analistas de si sta es una buena prctica o es meramente una prctica aceptable (ello compone el "2" dentro del sistema). Esta crtica se aplica a cualquier estudio, sin embargo: incluso aquellos indicadores "objetivos" escogidos son de hecho indicadores elegidos de manera meramente subjetiva, y elegidos con el propsito de parecer objetivos cuando de hecho estos no pueden ser siempre indicativos de la situacin. El gran reto para una organizacin de defensa de la privacidad al conducir esta valoracin, y quizs para cualquier grupo de defensa en cualquier rea que busque algo similar, es que si los criterios son justos, y si existe un sesgo positivo, entonces debemos estar deseosos de ser explcitos sobre lo que encontramos como "aceptable", o quizs incluso "deseable". Es fcil condenar una prctica, y por tanto otorgarle un "0"; pero como medimos algo dentro de un esquema de vigilancia como "1", "2", o incluso "2*". No podramos darle ninguna puntuacin positiva a un sistema de vigilancia debido a que, por definicin se est realizando vigilancia. Por supuesto, podramos tambin disminuir nuestras expectativas y slo celebrar cuando algo dentro de un sistema de vigilancia sea "menos malo" que en el sistema de vigilancia de otro pas. Ms bien, la solucin est en ser honrados en nuestros objetivos: no buscamos ver un mundo en el que la vigilancia est completamente ausente. Sino que quisiramos ver un mundo en el que la vigilancia sea mnima, conducida legalmente, slo cuando sea necesaria en una sociedad democrtica, y que sea proporcionada, con salvaguardas intrnsecas pertinentes, y derechos a recursos. De modo que un pas pueda tener un sistema de retencin de datos de comunicaciones y an as obtener puntuaciones positivas; tanta puntuacin positiva como un pas sin un sistema de retencin de datos de comunicaciones; y posiblemente incluso ms dado que en algunos pases podra no existir una ley aunque la prctica sea extendida. Es importante destacar que los defensores de la privacidad no slo ven el estado de las leyes como su objetivo ltimo, sino que en vez de ello creemos que la proteccin de la privacidad es ms fuerte en los pases en los que el debate sobre la privacidad est vivo y es importante. Esto es, que el marco de un pas es quizs ms fuerte cuando las protecciones en palabras y leyes son fuertes, pero tambin cuando el debate sobre los mismos es fuerte. Claro que podemos contar las leyes, pero si las personas no conocen sus derechos y las organizaciones no conocen sus deberes, entonces nada ha sido logrado. El reto entonces se convierte en el de medir el discurso poltico alrededor de la privacidad, y a veces lo hacemos objetivamente observando el nmero de quejas a los
130
reguladores; y a veces viendo un poco ms subjetivamente a los tipos de cobertura de los medios de comunicacin en un pas, la fuerza de su sociedad civil, y la voluntad de la ciudadana para cuestionar una prctica tanto pblicamente y, cuando sea necesario, legalmente, y la medida en la que una nacin respalda estos tipos de accin a travs de la asignacin de recursos. Como defensores y acadmicos, creemos que el reto fundamental en todas las metodologas es para el investigador el conocer que es lo que est esperando alcanzar.
ALGUNAS REFERENCIAS
"Democracy index 2010: Democracy in retreat", Economist, Unidad de Inteligencia, Diciembre 2010. UNDP y Global Integrity, "A User's Guide to Measuring Corruption", UNDP y Global Integrity, 2008. "Evaluating the Evaluators: Media Freedom Indexes and What They Measure", Centre for International Media Assistance of the National Endowment for Democracy y el Center for Global Communications Studies at the Annenberg School for Communication, 2010.
131
132
D. Unin Europea

355
(Extracto de: Privacidad y Derechos Humanos en Europa 2010 )

I. VISIN GENERAL DEL MARCO LEGAL E INSTITUCIONAL

La Unin Europea (UE) es una unin econmica y poltica de 27 Estados Miembros. Su estructura, as como las formas en las cuales sta garantiza la proteccin de los derechos fundamentales, han sido afectadas profundamente por la entrada en vigor el 1 de diciembre de 2009 del Tratado de Lisboa,356 con significativas implicaciones para el aseguramiento del derecho a la privacidad y el derecho a la proteccin de datos personales. Actualmente, los derechos fundamentales estn protegidos en el marco legal de la UE a travs de tres perspectivas complementarias: (a) como principios generales de la UE derivados del Convenio Europeo para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales (ECHR, en ingls) y las tradiciones constitucionales comunes a los Estados Miembros;357 (b) como se defini en la Carta de los Derechos Fundamentales de la Unin Europea358 (de aqu en adelante "la Carta");359 y (c) como un derecho protegido por la Convencin Europea de Derechos Humanos a la cual la UE se adherir.360 La Carta, que actualmente es vinculante en general en la UE, fue proclamada originalmente en el ao 2000. Esta introdujo entonces como una gran novedad el reconocimiento por separado de un derecho fundamental a la privacidad, en su Artculo 7,361 por un lado y, por otro, un derecho fundamental a la proteccin de los datos de carcter personal, en su Artculo 8.362 Este ltimo derecho establece que los datos

Las actualizaciones del informe de la UE publicadas en la edicin 2010 del EPHR fueron provistas por: Gloria Gonzlez Fuster del Law Science Technology & Society (Grupo de Investigacin en Derecho, Ciencia, Tecnologa y Sociedad) (LSTS) de la Vrije Universiteit Brussel, Blgica; Maria Grazia Porcedda de la European University Institute, Italia; Matteo E. Bonfanti del Centre for Media and Communication Studies (Centro de Estudios de Medios y Comunicaciones) de la Central European University, Hungra. 356 El Tratado de Lisboa que modifica el Tratado de la Unin Europea y el Tratado que estableci la Comunicada Europea, suscrito en Lisboa, OJ C 306, 17 Diciembre 2007, en 1-271. Los tratados de la UE y legislacin relevante adoptada o en proceso de adopcin as como otros documentos oficiales tambin se hallan disponibles en lnea en <http://europa.eu/documentation/legislation/index_es.htm>. 357 Art. 6(3) de la Versin Consolidada del Tratado de la Unin Europea. Las versiones consolidadas del Tratado de la Unin Europea y del Tratado de Funcionamiento de la Unin Europea, OJ C 83, 30 Marzo 2010, en las pginas 1-388. Disponible en <http://eurlex.europa.eu/JOHtml.do?uri=OJ%3AC%3A2010%3A083%3ASOM%3AES%3AHTML>. 358 Carta de los Derechos Fundamentales de la Unin Europea, OJ C 83 30 Marzo 2010, en las pginas 389-403. 359 Art. 6(1) de la Versin Consolidada del Tratado de la Unin Europea. 360 Art. 6(2) de la Versin Consolidada del Tratado de la Unin Europea. 361 Art. 7 de la Carta, "Respeto de la vida privada y familiar," que estipula que: "Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones". 362 Art. 8 de la Carta, "Proteccin de datos de carcter personal," que establece que: "1. Toda persona tiene derecho a la proteccin de los datos de carcter personal que la conciernan. 2. Estos datos se tratarn
355
133
concernientes a una persona deben necesariamente ser procesados de manera leal, y sobre la base del consentimiento o de otro fundamento legtimo previsto por ley, que toda persona tiene derecho a acceder y rectificar los datos recogidos que la conciernan,363 y que el cumplimiento de estas normas debe estar sujeto al control de una autoridad independiente.364 A su turno, el Tribunal de Justicia de la Unin Europea, que tiene como sede Luxemburgo y que es el mximo intrprete de las leyes de la UE, empez a reconocer la existencia de un derecho europeo a la proteccin de datos de carcter personal.365 El Tratado de Lisboa puso fin a la divisin en la UE en tres pilares, los cuales durante dcadas haban determinado el desarrollo de la legislacin en la UE, y por tanto de las normas de proteccin de datos de carcter personal de la UE. Desde la entrada en vigor del Tratado de Lisboa, la UE tiene en el Artculo 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea una nueva base legal para la regulacin de los datos de carcter personal, ya sea en el sector privado como en el sector pblico, incluyendo el procesamiento en el rea policial y en el de cooperacin judicial.366 Esta nueva base legal podra ser utilizada en el contexto de la revisin del que es actualmente el principal instrumento legal de la UE para la proteccin de datos de carcter personal, en otras palabras, la Directiva de Proteccin de Datos.

de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legtimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificacin. 3. El respeto de estas normas quedar sujeto al control de una autoridad independiente." 363 Art. 8(2) de la Carta. 364 Art. 8(3) de la Carta. 365 ECJ, Caso C-73/07, Tietosuojavaltuutettu contra Satakunnan Markkinaprssi Oy, Satamedia Oy, Fallo del 16 de diciembre 2008; Caso C-275/06, Productores de Msica de Espaa (Promusicae) contra Telefnica de Espaa SAU, Fallo del 29 de enero 2008, 63. 366 Art. 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea que establece que: "1. Toda persona tiene derecho a la proteccin de los datos de carcter personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecern, con arreglo al procedimiento legislativo ordinario, las normas sobre proteccin de las personas fsicas respecto del tratamiento de datos de carcter personal por las instituciones, rganos y organismos de la Unin, as como por los Estados Miembros en el ejercicio de las actividades comprendidas en el mbito de la aplicacin del Derecho de la Unin, y sobre la libre circulacin de estos datos. El respeto de dichas normas estar sometido al control de autoridades independientes. Las normas que se adopten en virtud del presente artculo se entendern sin perjuicio de las normas especficas previstas en el artculo 39 de la Versin Consolidada del Tratado de la Unin Europea." El Art. 16 de la Versin Consolidada del Tratado de Funcionamiento de la Unin Europea tambin se aplica al procesamiento en el rea de la Poltica Exterior y Seguridad Comn, en la medida en que las instituciones de la UE procesen datos de carcter personal (Art. 39 de la Versin Consolidada del Tratado de la Unin Europea dispone una base legal especfica para el procesamiento de datos por parte de los Estados Miembros en el segundo pilar, este establece que: "De conformidad con el artculo 16 del Tratado de Funcionamiento de la Unin Europea, y no obstante lo dispuesto en su apartado 2, el Consejo adoptar una decisin que fije las normas sobre proteccin de las personas fsicas respecto del tratamiento de datos de carcter personal por los Estados Miembros en el ejercicio de las actividades comprendidas en el mbito de la aplicacin del presente captulo, y sobre la libre circulacin de dichos datos. El respeto de dichas normas estar sometido al control de autoridades independientes.").
134
II. DIRECTIVA DE PROTECCIN DE DATOS

La Directiva 1995/46/EC, conocida como la Directiva de Proteccin de Datos,367 define los fundamentos de la proteccin de datos personales que los Estados Miembros de la UE tienen que trasladar a su legislacin nacional, donde la legislacin existente y su cumplimiento se llevan a cabo. Las disposiciones de la Directiva pueden ser invocadas en los tribunales nacionales contra las normas de proteccin de datos de los Estados Miembros con el fin de derogar la aplicacin de normas contrarias a dichas disposiciones. La Directiva de Proteccin de Datos se aplica a cualquier procesamiento automtico de datos personales y a cualquier otro manejo de datos personales que forman parte de un sistema de archivamiento.368 Los datos de carcter personal estn definidos como cualquier informacin que se relacione a "cualquier persona identificada o identificable".369 Las operaciones de procesamiento vinculadas a la seguridad pblica, la defensa, la seguridad del Estado y actividades de los Estados Miembros en materia penal se dejaron fuera del alcance de la Directiva. El procesamiento de datos realizado por una persona natural en el curso de actividades puramente privadas y caseras tambin est exceptuado.370 La Directiva estipula una lista de razones legtimas que permiten el procesamiento de datos personales371 y dispone que las personas responsables para determinar los propsitos y medios del procesamiento de datos personales, conocidos como los "responsables de datos", garanticen el cumplimiento con los principios relativos a la calidad de los datos.372 El responsable de datos cuenta tambin con deberes de informacin hacia las personas cuyos datos son procesados, el cual se denomina "titular de los datos", aplicables cuando se recogen datos personales directamente de la persona,373 pero tambin cuando no se recogen del mismo titular de los datos.374 Se prev una proteccin reforzada para el uso de datos personales sensibles, por ejemplo, aquellos que corresponden a la salud, vida sexual, o creencias religiosas o filosficas.375 Al responsable de datos adicionalmente se le exige implementar las medidas tcnicas y organizacionales contra la destruccin ilegal, perdida accidental, o alteracin no autorizada, revelacin o acceso.376 Los derechos de los titulares de los datos, como se establece por la Directiva, son: el derecho al acceso, el cual incluye el derecho a recibir de parte del responsable de datos, confirmacin de si los datos relativos a ellos estn siendo procesados, informacin de los propsitos del procesamiento, las categoras de datos involucrados y los destinatarios a los que los datos son revelados, as como el derecho a obtener la rectificacin, borrado o bloqueo de los datos cuyo tratamiento no se ajuste a las

Directiva 1995/46/EC del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, OJ L 281/31, 23 de noviembre de 1995, entre las pginas 31-50. 368 Id., Art. 3(1). 369 Id., Art. 2(a). 370 Id., Art. 3(2). 371 Id., Art 7. 372 Id., Art. 6(1). 373 Id., Art. 10. 374 Id., Art. 11. 375 Id., Art. 8. 376 Id., Art. 17.
367
135
disposiciones de la Directiva;377 el derecho a un recurso judicial;378 y el derecho a oponerse a ciertas prcticas de tratamiento o procesamiento de datos.379 Cualquier persona que haya sufrido un perjuicio como resultado de una operacin ilegal de procesamiento tiene derecho a recibir una reparacin de parte del responsable de datos.380 En concordancia con el derecho fundamental a la proteccin de datos como se estableci en el Artculo 8 de la Carta,381 la Directiva de Proteccin de Datos exige a los Estados Miembros garantizar que autoridades independientes vigilen la aplicacin de sus disposiciones.382 El Tribunal de Justicia de la Unin Europea ha clarificado recientemente el significado de la condicin de "absoluta independencia" de las autoridades supervisoras de la proteccin de datos, haciendo hincapi en que no es compatible con el hecho de estar sujetas a la supervisin del Estado.383 Las autoridades supervisoras deben ser necesariamente dotadas de poderes de investigacin y de poderes efectivos de intervencin, tales como poderes para ordenar el bloqueo, el borrado, y la destruccin de datos, o el imponer una prohibicin temporal o permanente del tratamiento de datos.384 La Directiva de Proteccin de Datos estableci un organismo de consulta llamado Grupo de Trabajo sobre la Proteccin de las Personas con relacin al Tratamiento de Datos Personales, o Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 (de aqu en adelante, GT29).385 Este organismo est compuesto por representantes de las autoridades de supervisin de los Estados Miembros y acoge igualmente a un representante del Supervisor Europeo de Proteccin de Datos, una autoridad supervisora instaurada en el 2004 (mayor informacin ms adelante). La Directiva de Proteccin de Datos dispone un mecanismo por medio del cual las transferencias de datos personales fuera del territorio de la UE deben cumplir un nivel "adecuado" de procesamiento de acuerdo a lo prescrito por las disposiciones de la Directiva.386 El hallazgo de la Comisin Europea de un nivel adecuado de proteccin en un pas fuera de la UE efectivamente desbloquea la transferencia de datos personales a dicho tercer pas. Las decisiones de la Comisin Europea sobre la idoneidad de la proteccin de datos personales en terceros pases actualmente comprenden a Argentina, la Ley de Proteccin de Informacin Personal y de Documentos Electrnicos de Canad, Andorra, el Bailiazgo de Guernsey, el Bailiazgo de Jersey, la Isla de Man, las

Id., Art. 12. El Tribunal de Justicia de la Unin Europea aclar el significado de este artculo en el: Caso C 553/07, College van burgemeester en wethouders van Rotterdam contra M.E.E. Rijkeboer, Fallo del 7 de mayo de 2009. 378 Directiva 1995/46/EC, supra en el Art. 22. 379 Id., Art. 14. 380 A menos que el responsable de datos pruebe que este no es responsable del evento que gener el perjuicio, Id., Art. 23. 381 Art. 8(3) de la Carta, supra. 382 Directiva 1995/46/EC, supra en el Art. 28. 383 Tribunal de Justicia de la Unin Europea, Caso C-518/07, Comisin Europea contra Repblica Federal de Alemania, Sentencia del 9 de Marzo de 2010. 384 Directiva 1995/46/EC, supra en el Art. 28(3). 385 Id., Art. 29. 386 Id., Art. 25. Sin embargo, esta no es la nica posibilidad para que ocurra una transferencia hacia un tercer pas (ver, en particular, Art. 26 de la Directiva 1995/46/EC).
377
136
Islas Feroe y Suiza.387 Las transferencias comerciales de datos de la UE a los Estados Unidos de Amrica pueden darse bajo el llamado Acuerdo de Puerto Seguro.388 El Tribunal de Justicia de la Unin Europea establece la interpretacin de la normativa de la UE que los tribunales de los Estados Miembros deben tomar en cuenta cuando apliquen sus leyes nacionales con el fin de estar en concordancia con las normas de la UE. El Tribunal de Justicia de la Unin Europea ha fallado sobre la Directiva de Proteccin de Datos en varios casos. En un fallo de 2003, ste dej en claro que el amplio alcance de la Directiva se aplica tambin al tratamiento o procesamiento de datos personales dentro del sector pblico y confirm que la Directiva puede ser invocada por las partes interesadas en los tribunales nacionales.389 En otra sentencia de 2003, el Tribunal de Justicia de la Unin Europea estableci que la Directiva se aplica a los sitios web y que el subir archivos de informacin personal a la Internet no activa automticamente la disposicin de transferencia a terceros pases a pesar de que la pgina web sea universalmente accesible.390
REVISIN DE LA DIRECTIVA DE PROTECCIN DE DATOS

Las instituciones de la UE estn considerando actualmente la posibilidad de revisar la Directiva de Proteccin de Datos. En el 2009, la Comisin Europea lanz una Consulta sobre el marco legal para el derecho fundamental a la proteccin de datos personales, abriendo la va a tal revisin. A finales del 2010 la Comisin public una Comunicacin esbozando sus planes de cambio.391 El GT29 expres pblicamente su apoyo a la revisin de la Directiva, a pesar del hecho que ste considera que los principios existentes de proteccin de datos son todava pertinentes. En un documento ad hoc,392 ste adelant sugerencias importantes, tales como: la de clarificar algunas nociones importantes sobre la norma de proteccin de datos (en especial, "consentimiento" y "transparencia");393 para incluir algunos

Las decisiones actualizadas sobre idoneidad se publican en <http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm>. 388 Comisin Decisin 2000/520/EC del 26 de Julio de 2000 de conformidad a la Directiva 95/46/EC del Parlamento Europeo y del Consejo sobre la idoneidad de la proteccin provista por el principios de privacidad de Puerto Seguro y preguntas frecuentes vinculadas emitidas por el Departamento de Comercio de los Estados Unidos de Amrica (notificado por el documento nmero C(2000) 2441), OJ L 215, 25 de agosto de 2000, entre las pginas 747. 389 Tribunal de Justicia de la Unin Europea, Casos Conjuntos C-465/00, C-138/01 y C-139/01, Rechnungshof, Sentencia de 20 de mayo de 2003. 390 Tribunal de Justicia de la Unin Europea, Caso C-101/01, Bodil Lindqvist, Sentencia del 6 de noviembre de 2003. 391 Comisin Europea, "Un enfoque global de la proteccin de los datos personales en la Unin Europea", Bruselas, 4 de noviembre de 2010, COM(2010) 609 Final. Disponible en <http://ec.europa.eu/health/data_collection/docs/com_2010_0609_es.pdf>. 392 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 y el Grupo de Trabajo sobre Polica y Justicia, "El futuro de la privacidad: contribucin conjunta a la consulta de la Comisin europea sobre el marco legal para el derecho fundamental a la proteccin de datos de carcter personal" ("The Future of Privacy: Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to the protection of personal data"), 1 de diciembre de 2009, Bruselas. 393 Adems, la compleja interaccin entre los roles de los "responsables de datos" y los "procesadores de datos" en un mundo globalizado ha sido abordado en un dictamen previo: El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 1/2010 sobre los conceptos de "responsable del tratamiento" y "encargado del tratamiento", WP 169, 16 de febrero de 2010, Bruselas. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf>.
387
137
principios adicionales (tales como "privacidad por diseo"394 y "responsabilidad",395 para modernizar algunas disposiciones (p.ej. el limitar las cargas burocrticas, pero tambin mejorar la proteccin de los titulares de los datos396); para establecer un marco legal integral, aplicado tambin a la cooperacin policiaca y judicial en asuntos penales; y para mejorar las condiciones para las transferencias de datos a terceros pases, promoviendo estndares internacionales y nuevas reglas sobre leyes aplicables, as como el reglamentar por ley el uso de las Normas Corporativas Vinculantes (Binding Corporate Rules (BCRs)).
III. PRIVACIDAD Y COMUNICACIONES ELECTRNICAS

La UE ha dado pasos especficos para garantizar la proteccin de la privacidad y de los datos personales en el rea de las telecomunicaciones. En 1997 la Directiva de Privacidad de las Telecomunicaciones (Directiva 1997/66/EC) fue adoptada, reemplazada en el 2002 por la Directiva sobre la privacidad y las comunicaciones electrnicas (Directiva 2002/58/EC),397 luego enmendada en el 2006398 y en el 2009.399 La Directiva sobre la privacidad y las comunicaciones electrnicas se aplica a los servicios de comunicaciones electrnicas disponibles pblicamente en redes de telecomunicaciones pblicas en la UE. sta regula el tratamiento de los llamados "trfico" y "datos de localizacin" ("datos de trfico" que son los datos necesarios para la provisin de comunicaciones y "datos de localizacin" que son los datos que proveen la posicin geogrfica del equipo terminal), as como comunicaciones no solicitadas ("spam"), cookies, y software espa, entre otras cosas.

Promoviendo la integracin de las exigencias de proteccin de datos y de la privacidad desde el diseo inicial y la creacin de la tecnologa, especialmente en reas riesgosas. Ver tambin Supervisor Europeo de Proteccin de Datos, Dictamen acerca de la promocin de confianza en la sociedad de la informacin mediante el impulso de la proteccin de datos y la privacidad, 19 de marzo de 2010, Bruselas. Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2 010/10-03-19_Trust_Information_Society_ES.pdf>. 395 Definido como la capacidad de los responsables de datos de demostrar que han tomado todas las medidas de proteccin de datos necesarias. Ver, sobre este tema, Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, 13 de julio de 2010, Bruselas. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_es.pdf>. 396 Por ejemplo, a travs de la introduccin de acciones de clase, o a travs de la disposicin de ms fciles y accesibles procedimientos de queja. 397 Directiva 1997/66/EC del Parlamento Europeo y del Consejo del 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las telecomunicaciones sobre, OJ L 24, 30 de enero de 1998, en las pginas 18. La Directiva exige a los Estados Miembros garantizar un nivel equivalente de proteccin de los derechos y las libertades fundamentales, y en particular el derecho a la privacidad, con respecto al tratamiento de datos personales en el sector de telecomunicaciones, e incluye disposiciones sobre seguridad (Art. 4), la confidencialidad de las telecomunicaciones (Art. 5); trfico y facturacin (Art. 6); facturacin desglosada: (Art. 7); la presentacin y limitacin de la identificacin de la lnea llamante y conectada (Art. 8); desvo automtico de llamadas (Artculo 10); guas (Art. 11); llamadas no solicitadas (Art. 12); y las caractersticas tcnicas y normalizacin (Art. 13). 398 Directiva 2002/58/EC del Parlamento Europeo y del Consejo del 12 de Julio de 2002 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas (Directiva sobre la Privacidad y las Comunicaciones Electrnicas), OJ L 201, 31 de julio de 2002, entre las pginas 37-47. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:ES:PDF>. 399 Cfr. Seccin "La Directiva de retencin de datos," infra.
394
138
La revisin de 2009 de la Directiva sobre la privacidad y las comunicaciones electrnicas400 modific los textos anteriores en distintas formas. Primero, ste estableci una definicin legal de violacin de los datos personales.401 Los proveedores de servicios de comunicaciones que se hallan dentro del alcance de la Directiva estn obligados a notificar las violaciones a las autoridades nacionales competentes, as como a los abonados o clientes que probablemente sean afectados negativamente por la violacin (esto es, por robo de identidad, prdida de la reputacin, etc.), y no ser necesaria si se puede demostrar que ste ha implantado las medidas de seguridad apropiadas para la proteccin de los datos. Dicha notificacin debe ser acompaada por una lista de las medidas sugeridas para contrarrestar la violacin, y deber crearse un inventario de todas las violaciones ocurridas.402 Para este fin, se les otorg a las autoridades supervisoras competencias ampliadas. Ellos obtuvieron los poderes de investigacin necesarios y los recursos para vigilar a los proveedores de servicios, detener las infracciones y hacer cumplir las disposiciones de la Directiva. Adems, ellos adquirieron los medios para perseguir una cooperacin transfronteriza.403 Segundo, la revisin reforz las medidas sobre software espa y cookies, as como con el spam. Lo anterior puede ser instalado en el equipo terminal de los abonados, para obtener acceso a la informacin ya almacenada en ellos, slo con el explcito consentimiento del abonado o del usuario, dado despus de haberle sido proporcionado con informacin clara, en concordancia con la Directiva 1995/46/EC y despus de haberle concedido el derecho a rechazar dicho acceso, a menos que dicho acceso sea necesario para propsitos estrictamente de transmisin de una comunicacin o proporcionar un servicio expresamente solicitado.404 Para el spam, las infracciones de las disposiciones sobre comunicaciones no solicitadas ahora pueden ser solucionadas por medio de un procedimiento legal, por parte de personas naturales y jurdicas.405
IV. LA DIRECTIVA DE CONSERVACIN DE DATOS

En el ao 2002, la Directiva sobre la Privacidad y las Comunicaciones Electrnicas introdujo la posibilidad de que los Estados Miembros aprueben leyes ordenando la

Directiva 2009/136/EC del Parlamento Europeo y del Consejo del 25 de noviembre de 2009 que modifica la Directiva 2002/22/EC relativa al servicio universal y los derechos de los usuarios en relacin con las redes y los servicios de comunicaciones electrnicas, Directiva 2002/58/EC relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas y el Reglamento (CE) No. 2006/2004 sobre la cooperacin entre autoridades nacionales responsables del cumplimiento de las leyes de proteccin de los consumidores, OJ L 337, 18 de diciembre de 2009, entre las pginas 11-36 (para ser transpuesto a las leyes nacionales a partir del 25 de mayo de 2011). Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:ES:PDF>. 401 Art. 2(2)(c) de la Directiva 2009/136/EC: "'violacin de los datos personales' que significa una violacin de la seguridad que provoque la destruccin accidental o ilcita, la prdida, la alteracin, la revelacin o el acceso no autorizados, de datos personales transmitidos, almacenados, o tratados de otro modo en relacin con la prestacin de un servicio de comunicaciones electrnicas de acceso pblico en la Comunidad." 402 Id., Art. 2(4). 403 Id., Art. 2(10). 404 Id., Art. 2(5) (resultante de la correccin del Art. 5(3) de la Directiva 2002/58/EC). Ver. Respecto al tema: Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 2/2010 sobre publicidad comportamental en lnea, WP 171, 22 de junio de 2010, Bruselas. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_es.pdf>. 405 Id., Art. 2(7).
400
139
retencin de datos de comunicaciones por motivos de seguridad.406 En el 2006, la UE modific la Directiva sobre la Privacidad y las Comunicaciones Electrnicas al promulgar la Directiva sobre Conservacin de Datos (Directiva 2006/24/EC),407 la cual obliga a los Estados Miembros a exigir a los proveedores de comunicaciones a retener o conservar datos de comunicaciones por un periodo entre seis meses a dos aos. Los Estados Miembros tenan hasta septiembre de 2007 para transferir las exigencias de la Directiva a su legislacin nacional, pero se les facult a posponer la implementacin en relacin al acceso a Internet, la telefona por Internet y los correos electrnicos por Internet hasta marzo de 2009. A inicios de 2010, siete Estados Miembros todava no haban adoptado la legislacin nacional pertinente.408 Las implementaciones de la Directiva sobre Conservacin de Datos varan en cada Estado Miembro. Las diferencias ms notables estn relacionadas a los periodos de retencin o conservacin de datos, los datos a conservar, los tipos de delitos que justificaran el acceso a los datos y los mtodos para que las fuerzas del orden accedan a los datos. La Comisin Europea ha demandado a varios Estados Miembros por fallar en el traslado satisfactorio de la Directiva de Conservacin de Datos en sus marcos legislativos, en algunos casos ya con sentencias que confirman el incumplimiento de transponer debidamente sus disposiciones.409 Al momento de su adopcin, el GT29 emiti un dictamen sobre la Directiva de Conservacin de Datos en la cual asever que "[l]a decisin de conservar datos de comunicacin con el fin de combatir la delincuencia grave es un hecho sin precedentes que tiene una dimensin histrica. Afecta la vida cotidiana de todos los ciudadanos europeos y puede poner en peligro los valores y las libertades fundamentales que disfrutan y estiman".410 El GT29 observ posteriormente que la Directiva careca de algunas salvaguardas adecuadas y especficas para el tratamiento de los datos de comunicaciones y que permita una interpretacin e implementacin divergente en este punto por parte de los Estados Miembros.

Art. 15(1) de la Directiva 2002/58/EC. Directiva 2006/24/EC del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por las que se modifica la Directiva 2002/58/EC, OJ L 105, 13.4.2006, pp. 54-63. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:ES:PDF>. 408 Austria, Blgica, Grecia, Irlanda, Luxemburgo, Polonia, y Suecia. Cfr. Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Informe 01/2010 sobre la segunda accin conjunta de control de la aplicacin de la legislacin de la UE: cumplimiento a nivel nacional de los prestadores de telecomunicaciones y de proveedores de servicios de internet de la obligacin proveniente de la legislacin nacional sobre conservacin de datos basados en los Artculos 6 y 9 de la Directiva sobre la privacidad y las comunicaciones electrnicas 2002/58/EC y la Directiva sobre la conservacin de datos 2006/24/EC que modific la Directiva sobre la privacidad y las comunicaciones electrnicas, WP 172, 13 de julio de 2010, Bruselas. 409 Ver, en particular: Tribunal de Justicia de la Unin Europea, Caso C-189/09, Comisin Europea contra Repblica de Austria, Sentencia del 29 de Julio de 2010; Caso C-185/09, Comisin Europea contra Reino de Suecia, Sentencia del 4 de febrero 2010; Caso C-202/09, Comisin Europea contra Irlanda, Sentencia del 26 de noviembre de 2009; Caso C-211/09, Comisin Europea contra Repblica Helnica, Sentencia del 26 de noviembre de 2009; Caso C-394/10, Comisin Europea contra Gran Ducado de Luxemburgo, demandado el 4 de agosto de 2010. 410 Grupo de Trabajo del Articulo 29, Dictamen 3/2006 sobre la Directiva 2006/24/EC del Parlamento Europeo y del Consejo sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/EC, WP 119, 25 de marzo de 2006, Bruselas, en la pgina 2. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp119_es.pdf>.
407 406
140
Irlanda inici un proceso judicial buscando la anulacin de la Directiva de Conservacin de Datos directamente ante el Tribunal de Justicia de la Unin Europea,411 fundamentando que ste no haba sido adoptado sobre la base legal apropiada. Ms de 40 ONGs de libertades civiles y asociaciones profesionales con sede en distintos pases aprovecharon la oportunidad para enviar una carta al Tribunal de Justicia de la Unin Europea con una peticin para la anulacin de la Directiva.412 En febrero de 2009, el Tribunal de Justicia de la Unin Europea determin que la Directiva fue adoptada sobre la base legal correcta y, sin un anlisis de fondo sobre el tema de la privacidad, desestim la demanda que buscaba su anulacin.413 A nivel nacional, distintas acciones legales han combatido a las leyes nacionales que han trasladado la Directiva de Conservacin de Datos. La Digital Rights Ireland present una demanda contra el Gobierno Irlands ante la Corte Suprema en septiembre de 2006.414 En el caso argumenta que la ley de conservacin de datos irlandesa viola principios fundamentales de derechos humanos y es por tanto contraria a la Constitucin de Irlanda as como a las leyes de Proteccin de Datos de Irlanda y de la UE.415 En Alemania, 34,000 ciudadanos objetaron la transposicin de la Directiva de Conservacin de Datos ante el Tribunal Constitucional Federal Alemn, haciendo de esta la ms grande accin legal jams vista ante este tribunal.416 La sentencia final del Tribunal Constitucional Federal Alemn fue expedida el 2 de marzo de 2010.417 Jurisprudencia adicional pertinente fue emitida por el Tribunal Constitucional Rumano, el 8 de octubre de 2009418 y por el Tribunal Administrativo de Bulgaria el 11 de diciembre de 2008.419 En concordancia con las disposiciones de la Directiva de Conservacin de Datos,420 la Comisin Europea llev a cabo una evaluacin de su aplicacin e impacto en otoo de 2010.

Tribunal de Justicia de la Unin Europea, Caso C-301/06, Irlanda contra Consejo de la Unin Europea, Parlamento Europeo. Demanda disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2006:237:0005:0005:ES:PDF>. 412 Arbeitskreis Vorratsdatenspeicherung, "European NGOs Ask Court to Annul Data Retention Directive, 8 de abril de 2008, disponible en <http://www.vorratsdatenspeicherung.de/content/view/216/79/lang,en/#_note-0>. 413 Tribunal de Justicia de la Unin Europea, Caso C-301/06, Irlanda contra Parlamento Europeo, Consejo de la Unin Europea, Sentencia del 10 de febrero de 2009. Sentencia disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:082:0002:0003:ES:PDF>. 414 Digital Rights Ireland, "DRI Brings Legal Action over Mass Surveillance," 14 de septiembre de 2006, disponible en <http://www.digitalrights.ie/2006/09/14/dri-brings-legal-action-over-mass-surveillance/>. 415 Id. 416 Arbeitskreis Vorratsdatenspeicherung, "Constitutional Complaint Filed against German Telecomms Data Retention Act," 31 de diciembre de 2007 disponible en <http://www.vorratsdatenspeicherung.de/content/view/184/79/lang,en/>. 417 Vorratsdatenspeicherung (Conservacin de datos) BVerfG 2 de marzo de 2010, 1 BvR 256/08, disponible en < http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html>. 418 Resolucin No. 1258, Tribunal Constitucional Rumano, 8 de octubre de 2009, publicado en el Romanian Official Monitor, No. 789, 23 de noviembre de 2009. 419 Resolucin No. 13627, Tribunal Administrativo de Bulgaria ( ), 11 de diciembre de 2008. 420 Directiva 2006/24/EC, supra en el Art. 14.
411
141
V. PROTECCIN DE DATOS DE CARCTER PERSONAL Y ACCESO A DOCUMENTOS DE LA UNIN EUROPEA

En el 2001, un Reglamento fue adoptado para hacer aplicable el contenido de la Directiva de Proteccin de Datos para el procesamiento de datos llevados a cabo en instituciones de las Comunidades Europeas (CE), llamado Reglamento (CE) No. 45/2001.421 Este Reglamento no slo dispona el establecimiento de un Supervisor Europeo de Proteccin de Datos, sino que tambin es importante mencionarlo, entre otros, con relacin al acceso a los documentos en manos de las instituciones de la UE. El acceso a documentos en manos de las instituciones de la UE est gobernado por el Reglamento (CE) No. 1049/2001.422 La relacin entre el acceso a los documentos y la proteccin de datos personales ha sido clarificada por el Tribunal de Justicia de la Unin Europea en el contexto de un caso que enfrentaba a la Comisin Europea, por un lado, y a una compaa privada (The Bavarian Lager Co. Ltd) apoyada por el Supervisor Europeo de Proteccin de Datos.423 En la sentencia del caso, el Tribunal de Justicia de la Unin Europea confirm la aplicabilidad de las disposiciones de proteccin de datos de la UE en este campo y subray que la aplicacin de dichas disposiciones de proteccin de datos no pueden ser reducidas a un mero examen de si, ha ocurrido o no una interferencia en el sentido expresado por el Artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea.424
VI. EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ)

El antiguo "tercer pilar" de la UE usualmente cubra la cooperacin en los campos de la justicia y de asuntos internos. La proteccin de datos personales tratados en el contexto de actividades en esta rea, los cuales han sido dejados sin regulacin por la Directiva de Proteccin de Datos, fueron abordados a travs de varias disposiciones de proteccin de datos de la UE. Estas fueron comnmente adoptadas en relacin con los muchos sistemas o agencias especficas de informacin establecidos en el rea, creando una suerte de mosaico legislativo. Usualmente, estos instrumentos legales se remiten a la Convencin No. 108 del Consejo de Europa como el punto de referencia para sus disposiciones sobre proteccin de datos.

Reglamento (CE) No 45/2001 del Parlamento Europeo y del Consejo del 18 de diciembre de 2000 relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulacin de estos datos, OJ L 8, 12 de enero de 2001, en las pginas 1-22. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:ES:PDF>. 422 Reglamento (CE) No 1049/2001 del Parlamento Europeo y del Consejo del 30 de mayo de 2001 relativo al acceso del pblico a los documentos del Parlamento Europeo, del Consejo y de la Comisin, OJ L 145, 31 de mayo de 2001, en las pginas 43-48. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:145:0043:0048:ES:PDF>. 423 Tribunal de Justicia de la Unin Europea, Caso C-28/08 P, Comisin Europea contra The Bavarian Lager Co. Ltd, Sentencia del 29 de junio de 2010. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004A0194:ES:HTML>. 424 Id., 58-59.
421
142
Despus de muchos aos de debate sobre la posibilidad de establecer un instrumento horizontal de proteccin de datos para todo el "tercer pilar",425 la Decisin Marco del Consejo 2008/977/JHA fue adoptada el 27 de noviembre de 2008.426 Sin embargo, el alcance de la aplicacin de esta Decisin Marco es extremadamente limitado. De hecho, este concierne exclusivamente a la proteccin de datos personales intercambiados entre Estados Miembros y que no estn sujetos a otras disposiciones a nivel de la UE. Las innovaciones introducidas por el Tratado de Lisboa pueden finalmente afectar la existencia de la Decisin Marco. A lo largo de los aos, los instrumentos especficos de proteccin de datos han estado construyendo diferentes estructuras para vigilar la implementacin de la norma de proteccin de datos en esta rea. Por ejemplo, para la Europol, la cual es la agencia de inteligencia criminal, la supervisin de la proteccin de datos est en manos de la Autoridad Comn de Control de Europol.427 En el contexto de Eurojust, cuyo objetivo es mejorar las investigaciones y el procesamiento en toda la UE, la vigilancia de la proteccin de datos es responsabilidad de la Autoridad Conjunta de Control de Eurojust.428
PROCESAMIENTO DE DATOS EN EL ESPACIO DE LIBERTAD, SEGURIDAD Y JUSTICIA (AFSJ)

En el 2010, la Comisin Europea public un panorama de las mltiples medidas vigentes de la UE, en proceso de implementacin o en proceso de consideracin relativas a la obtencin, almacenamiento o intercambio transfronterizo de informacin personal con fines represivos o de gestin de la migracin.429 Las medidas fueron tomadas por las instituciones de la UE en aos anteriores con relacin tanto a propsitos

El Supervisor Europeo de Proteccin de Datos emiti tres dictmenes sobre el tema: Supervisor Europeo de Proteccin de Datos, Tercer dictamen del 27 de abril de 2007 sobre la propuesta de Decisin Marco del Consejo relativa a la proteccin de datos personales tratados en el marco de la cooperacin policial y judicial en materia penal, OJ C 139, 23 de junio de 2007, en 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2007:139:0001:0010:ES:PDF>. Segundo dictamen del 29 de noviembre de 2006 sobre la propuesta de Decisin Marco del Consejo relativa a la proteccin de datos personales tratados en el marco de la cooperacin policial y judicial en materia penal, OJ C 91, 26 de abril de 2007, en 9. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2007:091:0009:0014:ES:PDF>. Dictamen del 19 de diciembre de 2005 sobre la propuesta de Decisin Marco del Consejo relativa a la proteccin de datos personales tratados en el marco de la cooperacin policial y judicial en materia penal (COM (2005)475 final), OJ C 47, 25 de febrero de 2006, en 27. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2006:047:0027:0047:ES:PDF>. 426 Decisin Marco 2008/977/JAI del Consejo, del 27 de noviembre de 2008, relativa a la proteccin de datos personales tratados en el marco de la cooperacin policial y judicial en materia penal. Diario Oficial 350, 30 de diciembre de 2008, en pginas 6071. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:350:0060:01:ES:HTML>. 427 Dirjase a la pgina de la Autoridad Comn de Control de Europol en <http://europoljsb.consilium.europa.eu/about.aspx?lang=es>. 428 Compare las Normas del Reglamento Interno de Eurojust relativas al Tratamiento y a la Proteccin de Datos Personales (2005), C 68/1, disponible en <http://www.eurojust.europa.eu/official_documents/Data_Protection_Rules/c_06820050319es00010010. pdf>. 429 Comisin Europea, Comunicacin de la Comisin al Consejo y al Parlamento Europeo: Panorama general de la gestin de la informacin en el espacio de libertad, seguridad y justicia, COM(2010) 385 final, 20 de julio de 2010, Bruselas. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0385:FIN:ES:PDF>. Pgina 3.
425
143
de seguridad, tales como contraterrorismo y objetivos vinculados a la creacin de un rea sin fronteras internas (el rea "Schengen") y a veces en relacin a un objetivo impreciso, que de alguna manera engloba objetivos de seguridad y otras preocupaciones, tales como la de inmigracin. Es su panorama de 2010, la Comisin Europea admiti que dos recientes sistemas informticos de gran magnitud, el Sistema de Informacin de Visados (VIS, en ingls), el cual sirve para almacenar datos biomtricos de postulantes a una visa y el Sistema de Informacin de Schengen (SIS), as como su prximo sucesor, Sistema de Informacin de Schengen de segunda generacin (SIS II), no respetan uno de los principios fundamentales de la proteccin de datos en la UE, a saber, el principio de finalidad limitada.430 Otros sistemas de informacin existentes de gran magnitud en la UE incluyen a Eurodac, establecido por el Reglamento del Consejo 2725/2000,431 el cual es una base de datos para almacenar las impresiones dactilares de quienes buscan asilo (el sistema est inspeccionado por el Supervisor Europeo de Proteccin de Datos conjuntamente con las pertinentes Autoridades Nacionales de Proteccin de Datos.432 Entre las iniciativas de la UE que podran surgir en relacin al tratamiento de personas en trnsito, puede mencionarse la creacin del llamado "Sistema de Registro de las Entradas y Salidas" (EES),433 un sistema de informacin que se espera registre la hora y lugar de entrada, as como el periodo de tiempo de una estada autorizada, de todos los nacionales de terceros pases que ingresen al rea Schengen para fines de control de inmigracin y un Sistema Electrnico de Autorizacin de Viaje (ESTA, en ingls) para la obtencin de datos de nacionales de terceros pases que no estn sujetos al requisito de visa antes de su llegada a las fronteras de la UE.434 El Sistema de Informacin Aduanero (CIS, en ingls) fue establecido en 1995 por la Convencin del antiguo tercer pilar sobre el uso de la tecnologa de la informacin para efectos aduaneros.435 La meta del Sistema de Informacin Aduanero es permitir a los servicios de aduanas nacionales intercambiar y diseminar informacin sobre actividades de contrabando y pedidos de accin al respecto. Algunas de estas informaciones son datos personales. Una Autoridad Supervisora Comn compuesta por las Autoridades de

Id., en la pgina 24. Reglamento del Consejo (CE) No. 2725/2000 del 11 de diciembre de 2000, relativa a la creacin del sistema 'Eurodac' para la comparacin de las impresiones dactilares para la aplicacin efectiva del Convenio de Dubln, Diario Oficial L 316, 15 de diciembre de 2000. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000R2725:ES:HTML>. 432 Reglamento del Consejo (CE) No. 407/2002 del 28 de febrero de 2002 por el que se establecen determinadas normas de desarrollo del Reglamento (CE) No 2725/2000 relativo a la creacin del sistema 'Eurodac' para la comparacin de las impresiones dactilares para la aplicacin efectiva del Convenio de Dubln, Diario Oficial L 62, 5 de marzo de 2002, pginas 1-5. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:062:0001:0005:ES:PDF>. 433 Comisin Europea, Comunicacin de la Comisin al Parlamento Europeo, al Consejo, al Comit Econmico y Social Europeo y al Comit de las Regiones: Preparacin de los prximos pasos en la gestin de fronteras de la Unin Europea, COM(2008) 69 final, 13 de febrero de 2008, Bruselas, pgina 8. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0069:FIN:ES:PDF>. 434 Id., pgina 6. 435 Convenio establecido sobre la base del Artculo K.3 del Tratado de la Unin Europea, relativo a la utilizacin de la tecnologa de la informacin a efectos aduaneros, DO C 316, 27 de noviembre de 1995, pginas 34-47. En 1997, Reglamento del Consejo (CE) No. 515/97 del 13 de marzo de 1997 tambin estableci el Sistema de Informacin Aduanero con el fines de asistencia mutua con relacin a materias aduaneras y agrarias. Ver DO, L 082, 22 de marzo de 1997, pginas 1-16. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1997:082:0001:0016:ES:PDF>.
431 430
144
Proteccin de Datos de los Estados Miembros es responsable de la supervisin del Sistema de Informacin Aduanero. Con objeto de mejorar el intercambio de datos personales dentro de la UE y entre las fuerzas del orden de los Estados Miembros, se han hechos distintos esfuerzos en los ltimos aos para crear "interoperatibilidad" entre las bases de datos.436 La "interoperatibilidad", es decir, la disolucin de las fronteras entre las bases de datos establecidas para diferentes propsitos, que contienen informacin sobre diferentes categoras de personas, accedidas por distintos tipos de autoridades y operadas con mtodos diferentes, presentan una seria amenaza a los bien establecidos principios de proteccin de datos de finalidad limitada y al de proporcionalidad. Las instituciones de la UE tambin estn considerando la creacin de una nueva agencia, posiblemente llamada Agencia para la Gestin Operativa de Sistemas Informticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia,437 para que se haga cargo de la gestin operativa del SIS II, VIS, Eurodac y cualquier otro sistema informtico de gran magnitud establecido en el espacio de libertad, seguridad y justicia. Los intercambios de tratamiento de datos en la UE tambin se dan a travs de canales que nos requieren el establecimiento de ninguna base de datos nueva. En el 2005, siete Estados Miembros438 suscribieron un tratado en Prm para mejorar la cooperacin transfronteriza de carcter policial y judicial, especialmente con relacin al combate al terrorismo, los delitos transfronterizos y la migracin ilegal. Bajo el Tratado, los Estados Miembros se otorgan entre ellos derechos de acceso a sus archivos automatizados de anlisis de ADN, sistemas automatizados de identificacin a travs de impresiones digitales y datos de registro de vehculos. En el 2006, Alemania y Austria se convirtieron en los primeros pases en el mundo en emparejar sus bases de datos de ADN.439 Las disposiciones del Tratado de Prm han sido desde entonces integradas en el marco legal de la UE.440

Segn la Comunicacin de la Comisin al Consejo y al Parlamento Europeo sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el mbito de la Justicia y los Asuntos de Interior (COM/2005/0597 final), Bruselas, 24 de noviembre de 2005, "interoperatividad" es la "capacidad para compartir e intercambiar informacin y conocimientos de los sistemas de tecnologas de la informacin y las comunicaciones (TIC) y de los procesos empresariales en que se basan". Lamentablemente la Comisin consider a la "interoperatividad" como "un concepto tcnico ms que jurdico o poltico. No est vinculado a la cuestin de si el intercambio de datos es legal o polticamente posible o necesario". Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0597:FIN:ES:HTML>. 437 Comisin Europea, Propuesta Modificada del Reglamento (UE) No ... / ... del Parlamento Europeo y del Consejo por el que se crea una Agencia para la gestin operativa de sistemas informticos de gran magnitud en el espacio de libertad, seguridad y justicia, COM(2010) 93 final, 19 de marzo de 2010, Bruselas. Disponible en <http://www.europarl.europa.eu/meetdocs/2009_2014/documents/com/com_com%282010%290093_/co m_com%282010%290093_es.pdf>. 438 Austria, Blgica, Francia, Alemania, Luxemburgo, Espaa, y los Pases Bajos. 439 "The Treaty of Prm Makes Europe Safer - EU Police Forces Share Data," Ministerio del Interior de Alemania, 15 de marzo de 2007, en <http://www.eu2007.bmi.bund.de/nn_1059824/EU2007/EN/DomesticPolicyGoals/News/Content__News /Hanning__dbb.html>. 440 Ver la Decisin del Consejo 2008/615/JAI del 23 de junio de 2008 sobre la profundizacin de la cooperacin transfronteriza, en particular en material de lucha contra el terrorismo y la delincuencia transfronteriza, DO L 210, 6 de agosto de 2008, pginas 1-11. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0001:0011:ES:PDF>.
436
145
Otro instrumento legal de la UE que promueve el intercambio de informacin entre importantes autoridades de las fuerzas del orden es la Decisin Marco 2006/960/JAI. La Decisin Marco establece un rgimen regulatorio bajo el cual a las autoridades de las fuerzas del orden de los Estados Miembros se les permite, entre ellos, un intercambio "eficaz y rpido" (pero tambin con Europol y Eurojust) de "informacin y/o inteligencia disponibles para llevar a cabo investigaciones criminales u operaciones de inteligencia criminal".441 Los esfuerzos para impulsar el intercambio de datos personales en el contexto de asistencia legal mutua en materia penal en la UE tambin se ha enfocado en facilitar el intercambio de registros de antecedentes penales entre autoridades nacionales. La recientemente adoptada Decisin Marco 2009/315/JAI relativa a la organizacin y al contenido del intercambio de informacin de los registros de antecedentes penales entre los Estados Miembros442 apunta a definir las modalidades en las cuales un Estado Miembro donde se decide una condena contra un nacional de otro Estado Miembro transmite la informacin de dicha condena al Estado Miembro de la nacionalidad de la persona condenada. Sobre la base de la anteriormente mencionada Decisin Marco, el Consejo adopt la Decisin 2009/316/JAI por la que se establece el Sistema Europeo de Informacin de Antecedentes Penales (ECRIS, en ingls).443 En su diseo, ECRIS es un sistema descentralizado de tecnologa de la informacin basado en las bases de datos de registros de antecedentes penales nacionales. Todos los datos de registros de antecedentes penales deben estar almacenados nicamente en bases de datos operadas por los Estados Miembros. Los Estados Miembros deben consumar las medidas necesarias para cumplir con las disposiciones de ambos instrumentos legales mencionados anteriormente para abril de 2012. En los ltimos aos las instituciones de la UE han estado apoyando enrgicamente el incremento de la vigilancia en las fronteras fsicas de la UE. stas han establecido Eurosur, un marco tcnico de vigilancia de fronteras orientado a la mejora de la seguridad fronteriza a travs del intercambio de datos y la coordinacin de actividades,444 y de Frontex, la Agencia Europea para la Gestin de la Cooperacin Operativa en las Fronteras Exteriores, creada445 para coordinar las operaciones de

Ver tambin la Decisin del Consejo 2008/616/JAI del 23 de junio de 2008 relativa a la ejecucin de la Decisin 2008/615/JAI, DO L 210, 6 de agosto de 2008, pginas 1272. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:210:0012:0072:ES:PDF>. 441 Decisin Marco del Consejo 2006/960/JAI del 18 de diciembre de 2006 sobre la simplificacin del intercambio de informacin e inteligencia entre los servicios de seguridad de los Estados Miembros de la Unin Europea, DO L 386 29 de diciembre de 2006, pginas 89-100. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:386:0089:0100:ES:PDF>. 442 Decisin Marco del Consejo 2009/315/JAI del 26 de febrero de 2009 relativa a la organizacin y al contenido del intercambio de informacin de los registros de antecedentes penales entre los Estados Miembros, DO L 93, 7 de abril de 2009, pginas 2332. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0023:0032:ES:PDF>. 443 Decisin del Consejo 2009/316/JIA del 6 de abril de 2009 por la que se establece el Sistema Europeo de Informacin de Antecedentes Penales (ECRIS) en aplicacin del artculo 11 de la Decisin Marco 2009/315/JAI, DO L93, 7 de abril de 2009, pginas 33-47. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:093:0033:0048:ES:PDF>. 444 Comisin Europea, Comunicacin de la Comisin al Consejo, al Parlamento Europeo, al Comit Econmico y Social Europeo y al Comit de las Regiones: Examen de la creacin de un sistema europeo de vigilancia de fronteras (EUROSUR), COM(2008) 68 final, 13 de febrero de 2008, Bruselas. Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0068:FIN:ES:PDF>. 445 Reglamento del Consejo (CE) No. 2007/2004 del 26 de octubre de 2004 por el que se crea una Agencia Europea para la gestin de la cooperacin operativa en las fronteras exteriores de los Estados
146
vigilancia de controles fronterizos. La posibilidad de que Frontex procese datos personales, y en particular que los transmita a Europol, esta debatindose cada vez ms. En la UE la obtencin, anlisis e intercambio de informacin personal para propsitos de cumplimiento de la ley y de seguridad tambin involucra las actividades del sector privado. La llamada "privatizacin de las actividades de represin" consiste en instar a organizaciones privadas (empresariales o profesionales) para cooperar con las autoridades del Estado en la prevencin o combate a las actividades criminales como el terrorismo. Esta cooperacin se da de distintas formas: conservacin de datos de comunicaciones,446 intercambio de los registros de nombres de pasajeros447 y la recoleccin de informacin de parte de entidades privadas financieras o de otro tipo con propsitos de combatir el blanqueo de capitales. Con relacin a este tipo de cooperacin, la Directiva 2005/60/CE busca prevenir el uso del sistema financiero con el propsito de realizar blanqueo de capitales y para la financiacin del terrorismo.448 sta se aplica a instituciones crediticias y financieras, as como a ciertas personas jurdicas y naturales que trabajan en el sector financiero. A stas entidades se les exige identificar al cliente y verificar su identidad, obtener informacin sobre el propsito y la intencin de la relacin de negocios. Adems, stas deben completar un informe de transaccin sospechosa cuando haya sospecha de blanqueo de capitales o financiamiento del terrorismo, sin importar cualquier excepcin o umbral.449 stos informes de transacciones sospechosas se transmiten y procesan por las Unidades de Inteligencia Financiera que son usualmente parte de las fuerzas del orden o de organismos administrativos que informan a los Ministerios de Finanzas. Estos informes pueden ser transmitidos a las autoridades competentes, entre ellas las fuerzas del orden y a Unidades de Inteligencia Financiera extranjeras. Sobre esa base las investigaciones penales pueden ser iniciadas si es necesario. Estas formas de vigilancia que hacen uso de informacin en manos del sector privado involucran la obtencin, almacenamiento e intercambio con autoridades nacionales de una amplia categora de datos de carcter general generados por las personas en su vida diaria y en su mayora en la realizacin de actividades legtimas. El Programa de Estocolmo,450 el documento de poltica que orienta el desarrollo de un Espacio de Libertad, Seguridad y Justicia para el periodo 2010-2014, confirma la tendencia hacia un refuerzo de las prcticas de tratamiento de datos, al tiempo que se ocupan de la interaccin entre las tcnicas intrusivas privadas y la necesidad de proteger el derecho a la vida privada y a la proteccin de datos.451 El Programa en especial hace

Miembros de la Unin Europea, DO L 349, 25 de noviembre de 2004, pginas 111. Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:349:0001:0011:ES:PDF>. 446 Cfr. Seccin "The Data Retention Directive," supra. 447 Cfr. infra esta Seccin y la Seccin de "The PNR Data Exchange Agreements". 448 Directiva 2005/60/CE del Parlamento Europeo y del Consejo del 26 de octubre de 2005 relativa a la prevencin de la utilizacin del sistema financiero para el blanqueo de capitales y para la financiacin del terrorismo, DO L 309, 25 de noviembre de 2005, pginas 15-36. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:309:0015:0036:ES:PDF>. Ver tambin la Decisin del Consejo del 17 de octubre de 2000 relativo a los acuerdos para la cooperacin entre las unidades de inteligencia financiera de los Estados Miembros con respecto al intercambio de informacin, DO L 271, 24 de octubre de 2000, pginas 4-6. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:271:0001:0003:ES:PDF>. 449 Id. 450 El Programa de Estocolmo Una Europa abierta y segura que sirva y proteja al ciudadano, DO C 115, 4 de mayo de 2010. El Programa surgi en noviembre de 2009. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:115:0001:0038:es:PDF>. 451 Id., pgina 18.
147
un llamado para el desarrollo de una Estrategia Interna de Seguridad (con su propia dimensin externa), lo que genera un amplio uso de gestin e intercambio de informacin, basado en una Estrategia de Gestin de Informacin apuntalada por el principio de disponibilidad452 y aquel de interoperabilidad,453 es decir, la posibilidad tcnica de unir bases de datos. Entre otros, el Programa de Estocolmo sugiere restituir el proyecto para un sistema de Registro de Nombres de los Pasajeros (PNR, en ingls) para toda la UE con fines represivos.454 ste sistema permitira la recoleccin de datos registrados durante la compra de boletos de avin ("datos de Registro de Nombres de los Pasajeros (PNR)")455 de pasajeros de vuelos internacionales de lneas areas por parte de las autoridades nacionales designadas por los Estados Miembros, llamadas Unidades de Informacin sobre Pasajeros (PIUs, en ingls). Las unidades de Informacin sobre Pasajeros utilizaran los datos del Registro de Nombres de los Pasajeros, entre otras cosas, para "proceder a hacer una evaluacin de riesgo que puedan entraar los pasajeros con objeto de identificar a las personas que requieran un examen ms detallado".456 La Agencia de Derechos Fundamentales de la Unin Europea (FRA, en ingls),457 el Supervisor Europeo de Proteccin de Datos (EDPS)458 y el GT29459 han emitido opiniones crticas sobre el posible establecimiento de este sistema.

Ver el Programa de la Haya, DO C 53, 3 de marzo de 2005, pgina 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2005:053:0001:0014:ES:PDF>. Ver tambin Supervisor Europeo de Proteccin de Datos, Dictamen sobre la propuesta de Decisin Marco del Consejo sobre el intercambio de informacin en virtud del principio de disponibilidad (COM (2005)490 final), 28 de febrero de 2006, DO C 116, 17 de mayo de 2006, pgina 8. El principio de disponibilidad se refiere a la posibilidad de que los oficiales de las fuerzas del orden de un Estado Miembro obtengan informacin de las fuerzas del orden de otro Estado Miembro en las mismas condiciones en las que lo hacen los oficiales de las fuerzas armadas en ese ltimo Estado Miembro. 453 Ver supra en el texto. 454 La idea avanz en conjunto con el inicio de las negociaciones con los Estados Unidos de Amrica para concluir el primer Acuerdo de intercambio de registros de nombres de pasajeros (ver ms adelante) (Comisin Europea, Comunicacin de la Comisin al Consejo y al Parlamento Europeo: Transferencia de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unin Europea, COM(2003) 826 final, 16 de diciembre de 2003, Bruselas) Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>. No obstante, una propuesta concreta solo se present cuatro aos despus (Comisin Europea, Propuesta de Decisin Marco del Consejo sobre la utilizacin de datos del registro de nombres de los pasajeros (Passenger Name Record-PNR) con fines represivos {SEC(2007) 1422} {SEC(2007) 1453} /* COM/2007/0654 final). Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0654:FIN:ES:PDF>. 455 Los Registros de Nombres de los Pasajeros (PNR, en ingls) son diferentes de los datos del Sistema de Informacin Anticipada sobre Pasajeros (API, en ingls), la cual es informacin contenida en la Zona Legible por Mquina (MRZ, en ingls) de los pasaportes. Los datos de los registros de nombres de los pasajeros pueden contener hasta 60 campos, que se sobreponen parcialmente pero que exceden los datos recogidos por el Sistema de Informacin Anticipada sobre Pasajeros, y que no son datos oficiales verificados. 456 Comisin Europea, Propuesta de Decisin Marco del Consejo sobre utilizacin de datos del registro de nombre de los pasajeros (Passenger Name Record PNR) con fines represivos, supra en el Art. 3.3. 457 Dictamen de la Agencia de Derechos Fundamentales de la Unin Europea acerca de la propuesta para una Decisin Marco del Consejo sobre utilizacin de datos de los registros de nombres de los pasajeros (Passenger Name Record - PNR) con fines represivos, 28 de octubre de 2008. Disponible en <http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf>. 458 Supervisor Europeo de Proteccin de Datos (EDPS), Dictamen acerca de la propuesta de Decisin Marco del Consejo sobre utilizacin de datos del registro de nombre de los pasajeros (Passenger Name Record PNR) con fines represivos, 20 de diciembre de 2007, DO C 110, 01 de mayo de 2008, pgina 1. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2008:110:0001:0015:ES:PDF>.
452
148
VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A.

El Programa de Estocolmo tambin apoya la propuesta para un acuerdo de intercambio de informacin con propsitos represivos con los Estados Unidos de Amrica (E.U.A.). El acuerdo estara basado en el trabajo realizado por el informal Grupo de Contacto de Alto Nivel (HLCG, en ingls), que fue establecido en el 2006 con el fin de estudiar como tender un puente entre las diferencias existentes entre los regmenes de proteccin de datos de la UE y los E.U.A. para promover el intercambio de datos con fines represivos a travs del Atlntico. De hecho, los intercambios de informacin transatlnticos, y ms precisamente, transferencias de datos unidireccionales de la UE a los E.U.A., se han estado incrementando en la ltima dcada, sin embargo, estos han sido a menudo descritos como un obstculo para estos flujos de datos. Las actividades del Grupo de Contacto de Alto Nivel (HLCG) finalizaron en el 2009 con la adopcin de una Adenda al Informe Final del Grupo de Contacto de Alto Nivel (HLCG).460 Su trabajo estuvo dedicado a identificar principios comunes entre la UE y los E.U.A.461 y, cuando fue posible, para alcanzar definiciones comunes de los principios.462 En relacin a la eleccin de la forma ms adecuada para el instrumento debatido, el Grupo de Contacto de Alto Nivel (HLCG) apoyaba enrgicamente la adopcin de un acuerdo internacional vinculante. Tanto la UE como los E.U.A. han avalado posteriormente la idea de trabajar hacia el logro de un acuerdo internacional vinculante sobre proteccin de datos e intercambio de datos.463 En enero de 2010, la Comisin Europea lanz una consulta pblica para

Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 y Grupo de Trabajo sobre Polica y Justicia, Dictamen conjunto sobre la propuesta de Decisin marco del Consejo relativa al uso del registro de nombres de los pasajeros (Passenger Name Records PNR) a efectos de la aplicacin de la ley, presentado por la Comisin el 6 de noviembre de 2007, WP 145, 05 de diciembre de 2007, Bruselas. 460 Los Informes del Grupo de Contacto de Alto Nivel (HLCG) relativos a intercambio de informacin y la proteccin de la vida privada y los datos personales, 23 de noviembre de 2009, Bruselas, disponible en <http://register.consilium.europa.eu/pdf/en/09/st15/st15851.en09.pdf>. El Supervisor Europeo de Proteccin de Datos emiti un Dictamen sobre el Informe Final: Dictamen del Supervisor Europeo de Proteccin de Datos acerca del informe final del Grupo de Contacto de Alto Nivel entre la UE y los Estados Unidos sobre el intercambio de informacin y la proteccin de la vida privada y los datos personales, 11 de noviembre de 2008, DO C 128, 06.de junio de 2009, pgina 1. Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2 008/08-11-11_High_Level_Contact_Group_ES.pdf>. La Adenda se ocupa una serie de temas anteriormente descritos como pendientes. En particular: 1) La consistencia entre las obligaciones de las entidades privadas durante las transferencias de datos; 2) Aplicacin equivalente y reciproca de leyes de privacidad y proteccin de datos personales; 3) La prevencin del impacto indebido en las relaciones con terceros pases; y 4) Acuerdos especficos que regulen el intercambio de informacin y la proteccin de la vida privada y los datos personales. 461 Los principios identificados fueron: 1) Especificacin del Propsito/Limitacin del Propsito; 2) Claridad/Integridad de Datos; 3) Proporcionalidad/Pertinente y Necesaria; 4) Seguridad de la Informacin; 5) Categoras Especiales de Informacin Personal (datos sensibles); 6) Responsabilidad; 7) Independencia y Supervisin Eficaz; 8) Acceso Personal y Rectificacin; 9) Transparencia y Notificacin; 10) Indemnizaciones; 11) Decisiones Personales Automatizadas; y 12) Restricciones sobre Transferencias Futuras a Terceros Pases. 462 Las definiciones comunes fueron identificadas para nueve o doce principios. Una definicin comn de "indemnizacin" no se pudo alcanzar; solo fue posible acordar que cualquier proceso de indemnizacin debe resultar en un recurso efectivo; la definicin de "supervisin independiente y eficaz" incorpor las diferencias estructurales entre los dos regmenes, y, finalmente, la definicin de "transparencia y notificacin" slo aclar el tipo de informacin que estara disponible para los titulares de los datos. 463 Declaracin Conjunta UE-EE.UU. sobre "Enhancing transatlantic cooperation in the area of Justice, Freedom, and Security" ("El mejoramiento de la cooperacin transatlntica en el rea de Justicia, Libertad
459
149
obtener opiniones con vista a un futuro acuerdo internacional UE-E.U.A. sobre proteccin de datos personales e intercambio de informacin con fines represivos,464 poniendo en movimiento el debate institucional sobre el tema a nivel de la UE. Uno de los retos principales surgidos de estos eventos es el nivel de equivalencia entre los marcos institucionales de la UE y de los E.U.A. Otro reto clave es cmo gobernar este acuerdo otros y futuros mecanismos de intercambio de informacin entre la UE y los E.U.A., tales como aquellos vinculados al tratamiento de datos con fines de seguridad en los E.U.A. a partir de datos originales obtenidos en la UE por parte de entidades privadas, en el contexto de actividades no relacionadas por ejemplo en el contexto de los Registros de Nombre de los Pasajeros (PNR) o en las llamadas transferencias de datos de SWIFT.465
LOS ACUERDOS DE INTERCAMBIO DE DATOS DE LOS REGISTROS DE NOMBRE DE LOS PASAJEROS (PNR) 466
En el 2001 el Gobierno de los E.U.A. empez a exigir acceso a los sistemas de reserva de empresas areas extranjeras con el fin de tener acceso a los Registros de Nombre de Pasajeros, esto es, informacin biogrfica detallada y de inteligencia sobre los pasajeros.467 El cumplimiento de la solicitud requerira que las aerolneas violaran la ley de proteccin de datos de la UE, mientras que el no cumplimiento podra haber conducido a sanciones econmicas de parte del Gobierno de los E.U.A. Luego de la intervencin de la Comisin Europea, se iniciaron las negociaciones entre la UE y los E.U.A. sobre cmo concordar los dos sistemas legales.468 Un primer acuerdo469 se finaliz y suscribi en mayo de 2004, acompaado de una Decisin del Consejo relativa a la celebracin del acuerdo sobre el tratamiento y la

y Seguridad"), adoptado en Washington D.C. el 28 de octubre de 2009, pgina 6, disponible en <http://www.regeringen.se/content/1/c6/13/43/59/8542bc06.pdf>. 464 Los resultados de la consulta estn disponibles en <http://ec.europa.eu/justice/news/consulting_public/news_consulting_0005_en.htm>. 465 Otro tema vinculado es la relacin entre el acuerdo y los acuerdos negociados entre los EE.UU. y los Estados Miembros de la UE. 466 Todos los documentos pertinentes estn disponibles en el sitio web de la Comisin, bajo el ttulo de "US United States - Transfer of Air Passenger Name Record (PNR) Data," (EE.UU. Estados Unidos Transferencia de datos de los registros de nombre de los pasajeros (PNR)) en <http://ec.europa.eu/justice/policies/privacy/thridcountries/index_en.htm#countries>. 467 De manera ms concreta, por medio de la Seccin 15 de la Ley de Seguridad de Aviacin y Transporte de los Estados Unidos (ATSA) (Los Estados Unidos, el Congreso, la Ley de Seguridad de Aviacin y Transporte, 19 de noviembre de 2001). En el 2001, la Oficina de Aduanas y Proteccin Fronteriza empez a exigir a las empresas areas internacionales que operaban vuelos desde y hacia, o dentro de territorio de los Estados Unidos, otorgarles acceso a los datos de sus sistemas de reserva automatizado y de control de despegue para obtener datos de Registros de Nombre de Pasajeros. 468 Comisin Europea, Comunicacin de la Comisin al Consejo y al Parlamento Europeo: Transferencia de datos de los registros de nombres de los pasajeros (PNR): Un enfoque global de la Unin Europea, COM(2003) 826 final, 16 de diciembre de 2003, Bruselas. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2003:0826:FIN:ES:PDF>. 469 Acuerdo entre la Comunidad Europea y los Estados unidos de Amrica sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compaas areas al departamento de seguridad nacional, oficina de aduanas y proteccin de fronteras, de los Estados Unidos, DO L 183, 20 de mayo de 2004, pginas 8485. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0084:0085:ES:PDF>.
150
transferencia de datos personales470 y, basada en las gestiones de la Oficina de Aduanas y Proteccin Fronteriza471 y una Decisin de la Comisin Europea sobre la proteccin adecuada de dichos datos.472 Dado que a los E.U.A. se le permiti acceder directamente a los sistemas de reserva de las compaas areas para "jalar" los datos necesarios. El acuerdo se alcanz entre las dudas y las crticas de los defensores de la privacidad, especialmente del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 de los reguladores de la privacidad europeos,473 y por distintas razones, de las compaas areas. El Parlamento Europeo expres su crtica adoptando una resolucin y presentando dos acciones de anulacin ante el Tribunal de Justicia de la Unin Europea (ECJ)474 contra

Decisin del Consejo 2004/496/CE del 17 de mayo de 2004 relativo a la celebracin del Acuerdo entre la Comunidad Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compaas areas al Departamento de seguridad nacional, oficina de aduanas y proteccin de fronteras, de los Estados Unidos, DO L 183, 20 de mayo de 2004, pginas 8385. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:183:0083:0083:ES:PDF>. 471 Carta del Comisionado Bolkestein al Secretario Tom Ridge de los Estados Unidos de Amrica, Departamento de Seguridad Interna, 18 de diciembre de 2003. 472 Decisin de la Comisin 2004/535/CE del 14 de mayo de 2004 relativa al carcter adecuado de la proteccin de datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de Aduanas y Proteccin de Fronteras de los Estados Unidos (Bureau of Customs and Border Protection) (notificada con el nmero C(2004) 1914), DO L 235, 6 de julio de 2004, pginas 1122. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:235:0011:0022:ES:PDF>. 473 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 6/2002 relativo a la transmisin de listas de pasajeros y otros datos de compaas areas a los Estados Unidos, 24 de octubre de 2002, WP 66 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp66_es.pdf>); Dictamen 4/2003 del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, 13 de junio de 2003, WP 78; Dictamen 2/2004 sobre el carcter adecuado de la proteccin de datos personales incluidos en los registros de nombres de los pasajeros (Passenger Name Records, PNR) que se transfieren al Servicio de Aduanas y Proteccin de Fronteras de Estados Unidos (Bureau of Customs and Border Protection) (US CBP), WP 87 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp78_es.pdf>); Dictamen 6/2004 relativo a la implementacin de la decisin de la Comisin del 14-V-2004 relativa a la adecuada proteccin de datos personales contenidos en los registros de nombres de los pasajeros (Passenger Name Records PNR) de pasajeros areos transferidos al Servicio de Aduanas y Proteccin de Fronteras de los Estados Unidos de Amrica, y del Acuerdo entre la Comunidad Europea y los Estados Unidos sobre tratamiento y transferencia de datos de los registros de nombres de los pasajeros (PNR) por parte de compaas areas al Departamento de Seguridad Interior de los Estados Unidos de Amrica, Servicio de Aduanas y Proteccin de Fronteras, 22 de junio de 2004, WP 95 2 de febrero de 2004; Dictamen 8/2004 sobre la informacin a los pasajeros relativa a la transferencia de datos PNR sobre los vuelos entre la Unin Europea y los Estados Unidos de Amrica, WP 97, 30 de septiembre de 2004 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp97_es.pdf>). Las crticas del Grupo de Trabajo del Artculo 29 relativas al primer acuerdo giraron en torno a la proporcionalidad de la medida comparada con sus propsitos, los retos para los principios de proteccin de datos, las caractersticas tcnicas de los intercambios (en particular, este consider que el intercambio de la informacin debe ocurrir por medio de una "empujar" en vez de por medio de un "jalar", es decir, por medio de una solicitud a las compaas areas para que enven a los Estados Unidos de Amrica los datos solicitados, en vez de permitir a los Estados Unidos de Amrica extraer los datos que necesite (lo cual reduce consistentemente la posibilidad de supervisin)) y la opcin de un marco legal para el intercambio. 474 Tribunal de Justicia de la Unin Europea Gran Sala, Asuntos acumulados C-317/04 y C-318/04, Parlamento Europeo contra Consejo de la Unin Europea (C-317/04) y Comisin de las Comunidades Europeas (C-318/04), Sentencia del 30 de mayo de 2006. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>.
470
151
el Consejo y la Decisin de la comisin que permite la adopcin del Acuerdo.475 El Tribunal de Justicia de la Unin Europea (ECJ) no consider todos los alegatos del Parlamento Europeo, pero anul las dos Decisiones con base en que estas fueron adoptadas sobre bases legales errneas. Dado que buscaban un objetivo dentro del alcance de "las reas del Derecho Penal relativas a la seguridad pblica y las actividades del Estado", la eleccin de la base legal del primer pilar fue incorrecta.476 El Tribunal de Justicia de la Unin Europea (ECJ) fij una fecha lmite (septiembre de 2006) para la adopcin de un nuevo acuerdo. Dada la ajustada fecha lmite fijada por el Tribunal, las partes entraron en negociaciones para un Acuerdo Temporal,477 suscrito en octubre de 2006.478 El nuevo texto479 no difiere sustancialmente del primero y fue recibido con renovadas crticas y una mayor conciencia. Un tercer Acuerdo fue suscrito dentro de los lmites de tiempo establecidos por la clusula de suspensin en el Acuerdo Temporal.480 Este consista de un acuerdo internacional481 suscrito por ambas partes, y dos cartas, cuya relacin jurdica con el

En particular, en el Caso C-317/04, el Parlamento Europeo invoc seis motivos de anulacin: la eleccin errnea del Artculo 95 CE como base jurdica para la Decisin 2004/496, la infraccin del artculo 300 CE, apartado 3, prrafo segundo y del artculo 8 del CEDH y en la violacin del principio de proporcionalidad, de la exigencia de motivacin y del principio de cooperacin leal. En el Caso 318/04 el Parlamento Europeo invoc cuatro motivos de anulacin, violacin del principio de legalidad, de los principios bsicos de la Directiva 95/46/CE, de los derechos fundamentales, y del principio de proporcionalidad. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62004J0317:ES:HTML>. 476 El Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 5/2006 sobre la sentencia del Tribunal Europeo de Justicia de 30 de Mayo de 2006 de los asuntos acumulados C-317/04 y C-318/04 sobre la transmisin de los registros de nombres de pasajeros a los Estados Unidos, 14 de junio de 2006, WP 122. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp122_es.pdf>. Dictamen 7/2006 sobre la sentencia del Tribunal de Justicia de las Comunidades Europeas del 30 de mayo de 2006 en los asuntos acumulados C-317/04 y C-318/04 relativa a la transferencia a los EE.UU. de datos de los expedientes de los pasajeros y la urgente necesidad de un nuevo acuerdo, 27 de septiembre de 2006, WP 124. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp124_es.pdf>. 477 Decisin del Consejo 2006/729/CFSP/JHA del 16 de octubre de 2006 relativo a la firma, a nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el procesamiento y la transferencia de los expedientes de los pasajeros (datos PNR) por las compaas areas al Departamento de Seguridad Nacional de los Estados Unidos de Amrica, OJ L 298, 27 de octubre de 2006, pginas 2728. 478 Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos, DO L 298, 27 de octubre de 2006, pginas 2931. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:298:0029:0031:ES:PDF>. 479 El cual contiene una clausula de suspensin y fue acompaada de dos cartas (Carta del "Departamento de Seguridad Nacional" (interpretaciones de los PNR); Respuesta del Presidente del Consejo y de la Comisin a la carta del Departamento de Seguridad Nacional de los Estados Unidos). 480 Decisin del Consejo 2007/551/CFSP/JHA del 23 de julio de 2007 relativa a la firma, en nombre de la Unin Europea, de un Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007), DO L 204, 4 de agosto de 2007, pginas 1617. 481 Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR 2007) DO L 204, 4 de agosto de 2007, pginas 1825. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018:0025:ES:PDF>.
475
152
acuerdo no fue aclarada.482 Aunque el nuevo texto se ocupa de algunas de las preocupaciones sustanciales surgidas en los diferentes organismos de la UE desde el inicio de los intercambios de datos,483 este no fue inmune a las crticas.484 Desde la entrada en vigor del Tratado de Lisboa han habido enrgicas exigencias para adoptar un nuevo acuerdo. Debe notarse que la UE tambin ha suscrito acuerdos de intercambio de Registros de Nombres de Pasajeros (PNR) con otros pases, tales como Australia.485
PROGRAMA DE RASTREO DE FINANCIAMIENTO AL TERRORISMO (TFTP)

En el 2006, el New York Times devel486 el acceso de las autoridades del Departamento del Tesoro de los Estados Unidos de Amrica a los registros financieros mantenidos por la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT, en ingls), con sede en Blgica. Amparado en el Programa de Rastreo de Financiamiento al Terrorismo (TFTP, en ingls), las autoridades de los Estados Unidos de Amrica accedieron a travs de la sucursal en su territorio y por medio de requerimientos judiciales, a los registros financieros tanto de ciudadanos de los Estados Unidos de Amrica como de extranjeros, incluidos ciudadanos de la UE, con el propsito de identificar, rastrear y perseguir judicialmente a terroristas. El tema caus fuertes crticas entre los defensores de la privacidad487 ya susceptibles a causa del asunto de los PNR.

La primera explica cmo el Departamento de Seguridad del Territorio Nacional de los Estados Unidos maneja la recoleccin, uso, y almacenamiento de los datos PNR, y la segunda reconoce su recepcin. 483 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Enfoque comn de la UE para el uso de registros de nombres de los pasajeros (datos PNR) para fines de represin, 31 de enero de 2007 (Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2007_31_01_common_eu_approach_use _pnr_data_for_law_enforcement.pdf>); Dictamen 2/2007 relativo a la informacin de los pasajeros en relacin con la transferencia de datos PNR a las autoridades de los Estados Unidos, 15 de febrero de 2007, WP 132 y su Anexo: Breve nota informativa para los viajes entre la Unin Europea y los Estados Unidos. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp132a_es.doc>. Taller sobre el enfoque de la UE hacia el nuevo acuerdo sobre datos de pasajeros. Este taller junt a autoridades nacionales de proteccin de datos y otras partes interesadas y no fue una reunin del Grupo de Trabajo del Artculo 29, 26 de marzo de 2007. Informe disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2007_03_26_pnr_workshop_report_en.p df>. 484 Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen No. 5/2007 relativo al nuevo Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por parte de las compaas areas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Department of Homeland Security, en ingls), celebrado en julio de 2007, 17 de agosto de 2007, WP 138. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp138_es.pdf>. Dictamen 2/2007 relativo a la informacin de los pasajeros en relacin con la transferencia de datos PNR a las autoridades de los Estados Unidos. Emitido el 15 de febrero de 2007, revisado y actualizado el 24 de junio de 2008, 24 de junio de 2008, WP 151. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp151_es.pdf>. 485 Acuerdo entre la Unin Europea y Australia sobre el tratamiento y la transferencia de datos, generados en la Unin Europea, del registro de nombres de los pasajeros (PNR) por las compaas areas a los Servicios de Aduanas de Australia, DO L 213, 8 de agosto de 2008, pginas 4957. Disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:213:0049:0057:ES:PDF>. 486 Eric Lichtblau & James Risen, "Bank Data Is Sifted by U.S. in Secret to Block Terror," The New York Times, 23 de junio de 2006, disponible en <http://www.nytimes.com/2006/06/23/washington/23intel.html>. 487 Supervisor Europeo de Proteccin de Datos, Dictamen sobre el rol del Banco Central Europeo en el caso SWIFT, 1 de febrero de 2007, disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Inquiries/20
482
153
Las autoridades de la UE ingresaron en negociaciones transatlnticas para regular el acceso y el procesamiento de los datos bancarios de los ciudadanos de la UE. Como resultado de ello, los Estados Miembros de la UE tambin podran tener acceso al resultado de las actividades de tratamiento realizadas por las autoridades de los Estados Unidos de Amrica. En espera de un acuerdo internacional, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) se adhiri al Acuerdo de Puerto Seguro y adopt una nueva "arquitectura distribuida", permitiendo que los mensajes dentro de Europa sean procesados y almacenados en los centros de datos de Europa. Adems, el Departamento del Tesoro de los Estados Unidos de Amrica aclar temas vinculados a su acceso y procesamiento de datos obtenidos por la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) y ofreci garantas. Como resultado de ello se suscribi un acuerdo temporal en noviembre de 2009488 con el objetivo explcito de negociar un acuerdo apropiado despus de la entrada en vigor del Tratado de Lisboa.489 El Parlamento Europeo, al que el Tratado de Lisboa le ha otorgado nuevos poderes en relacin con los acuerdos internacionales, vot en contra del acuerdo en febrero de 2010490 motivado por la insuficiente proteccin de datos en el acuerdo, una preocupacin tambin expresada por el Supervisor Europeo de Proteccin de Datos (EDPS, en ingls). 491 En consecuencia, se iniciaron nuevas negociaciones y un Proyecto de Decisin del Consejo fue remitido en junio de 2010.492 Aunque se han reconocido las mejoras realizadas, el Consejo no ha podido convencer a sus crticos, entre ellos al

07/07-02-01_Opinion_ECB_role_SWIFT_EN.pdf>; Grupo de Trabajo sobre Proteccin de Datos del Artculo 29, Dictamen 10/2006 sobre el tratamiento de datos personales por parte de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Worldwide Interbank Financial Telecommunication SWIFT), WP 128, 22 de noviembre de 2006. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_es.pdf>. 488 Simon Taylor, "EU Agrees New Bank Data Deal with US," European Voice, 30 de noviembre de 2009 disponible en <http://www.europeanvoice.com/article/2009/11/eu-agrees-new-bank-data-deal-withus/66563.aspx>. 489 Decisin del Consejo 2010/16/PESC/JAI del 30 de noviembre de 2009 relativa a la firma, en nombre de la Unin Europea, del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo, DO L 8, 13 de enero de 2010, pginas 9-10. Disponible en <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:008:0009:0010:ES:PDF>. 490 Parlamento Europeo Nota de Prensa, SWIFT: el Parlamento Europeo rechaza el acuerdo con Estados Unidos, Justicia y Asuntos de interior, 15 de febrero de 2010, disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+IMPRESS+20100209IPR68674+0+DOC+XML+V0//ES>. 491 Supervisor Europeo de Proteccin de Datos (EDPS), Comentarios sobre distintos acuerdos internacionales, en particular los acuerdos UE-EE.UU. y el acuerdo UE-AUS sobre PNR, el acuerdo UEEE.UU. relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (acuerdo TFTP, en ingls), y la necesidad de un enfoque integral para los acuerdos internacionales de intercambio de datos, 25 de enero de 2010. Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/ 2010/10-01-25_EU_US_data_exchange_EN.pdf>. 492 Propuesta para una Decisin del Consejo sobre la conclusin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativa al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (TFTP II, en ingls), 28 de junio de 2010. Disponible en <http://register.consilium.europa.eu/pdf/en/10/st11/st11580.en10.pdf>.
154
Supervisor Europeo de Proteccin de Datos493 al GT29 junto con el Grupo de Trabajo sobre Polica y Justicia494 y algunos Miembros del Parlamento Europeo (MEPs, en ingls).495 A pesar de ello, el Parlamento Europeo hall que el acuerdo final en combinacin con los compromisos legalmente vinculantes en la Decisin del Consejo cumple con la mayora de sus exigencias y por tanto dio el consentimiento para la conclusin del acuerdo el 5 de julio de 2010.496
VIII. ACTORES REGULATORIOS CLAVE

EL SUPERVISOR EUROPEO DE PROTECCIN DE DATOS
El Supervisor Europeo de Proteccin de Datos (EDPS) es uno de los actores clave en el rea de privacidad y proteccin de datos en la UE.497 l es responsable de vigilar el tratamiento de datos personales de la administracin de la UE, aconsejando sobre polticas y legislacin que se vinculen o tengan un impacto sobre el derecho a la privacidad y el derecho a la proteccin de datos de carcter personal y coopera con autoridades similares (Autoridades de Proteccin de Datos de los Estados Miembros en su mayor parte a travs de su participacin en el GT29).

Supervisor Europeo de Proteccin de Datos (EDPS), Dictamen del 22 de junio de 2010 sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica sobre el tratamiento y transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (TFTP II). Disponible en <http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2 010/10-06-22_Opinion_TFTP_ES.pdf. 494 Grupo de Trabajo sobre Proteccin de Datos del Articulo 29 y el Grupo de Trabajo sobre Polica y Justicia, Carta del Sr. Jacob Kohnstamn, Presidente del Grupo de Trabajo sobre Proteccin de Datos del Artculo 29 y el Sr. Francesco Pizzetti, Presidente del Grupo de Trabajo sobre Polica y Justicia dirigida al Sr. Juan Fernando Lpez Aguilar, Presidente de la Comisin de Libertades Civiles, Justicia y Asuntos de Interior (LIBE Committee) en relacin al Acuerdo UE-EE.UU. del Programa de Seguimiento de la Financiacin del Terrorismo (Acuerdo TFTP II), 25de junio de 2010. Disponible en <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2010_06_25_letter_to_libe_en.pdf>. 495 Ver la Recomendacin sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (11222/1/2010/REV 1 y COR 1 C70158/2010 2010/0178(NLE)) Comisin de Libertades Civiles, Justicia y Asuntos de Interior, Opinin Minoritaria, pgina 11. Disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=//EP//NONSGML+REPORT+A7-2010-0224+0+DOC+PDF+V0//ES>. 496 Id., Proyecto de Resolucin Legislativa del Parlamento Europeo sobre la propuesta de Decisin del Consejo relativa a la celebracin del Acuerdo entre la Unin Europea y los Estados Unidos de Amrica relativo al tratamiento y la transferencia de datos de mensajera financiera de la Unin Europea a los Estados Unidos a efectos del Programa de Seguimiento de la Financiacin del Terrorismo (11222/1/2010/REV 1 y COR 1 C7-0158/2010 2010/0178(NLE)), pginas 5-9. Disponible en <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-20100224+0+DOC+PDF+V0//ES>. 497 Ver la pgina web del Supervisor Europeo de Proteccin de Datos (EDPS) en <http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=es>.
493
155
EL GRUPO DE TRABAJO DEL ARTCULO 29

El GT29 sirve como plataforma para el intercambio y coordinacin entre las autoridades de supervisin de los Estados Miembros de la UE y cumple tambin un importante papel como un organismo consultivo.498 Las tareas del GT29 estn establecidas en el Artculo 30 de la Directiva sobre Proteccin de Datos y en el Artculo 15 de la Directiva sobre Privacidad Electrnica: estudiar toda cuestin relativa a la aplicacin de las disposiciones nacionales tomadas para la aplicacin de la legislacin de proteccin de datos de la UE con vistas a contribuir a su aplicacin homognea; proveer a la Comisin Europea opiniones sobre el nivel de proteccin existente dentro de la Comunidad y en terceros pases; asesorar a la Comisin Europea sobre cualquier medida para salvaguardar los derechos y las libertades de las personas naturales con relacin al tratamiento de datos de carcter personal y sobre cualquier otra medida propuesta a la Comunidad que afecta dichos derechos y libertades; emitir dictmenes sobre los cdigos de conducta elaborados a nivel de la UE. El GT29 puede hacer, por propia iniciativa, recomendaciones sobre cualquier materia vinculada a la privacidad y a la proteccin de datos en la UE. Este ha conducido consultas sobre temas de proteccin de datos vinculados a distintos tpicos499 y ha publicado dictmenes sobre muchos y distintas materias, entre ellas la introduccin de datos biomtricos en pasaportes y visas, la proteccin de los datos de carcter personal de los nios, clusulas contractuales estndar para la transferencia de datos personales a procesadores establecidos en terceros pases, o una propuesta de la industria para una evaluacin del impacto del uso de aplicaciones de identificacin por radiofrecuencia (RFID).500 Los dictmenes del GT29 son un punto de referencia comn para la interpretacin de la legislacin de proteccin de datos de la UE.
OTRAS REDES DE AUTORIDADES DE PROTECCIN DE DATOS

Redes de proteccin de datos formadas por iniciativa propia
Existen en Europa varias redes de proteccin de datos, formadas por iniciativa propia. Entre ellas tenemos: La Conferencia Europea de Autoridades de Proteccin de Datos: representantes de las autoridades de proteccin de datos de los Estados Miembros de la UE y del Consejo de Europa se renen anualmente, junto con autoridades subnacionales y organismos supervisores conjuntos en el campo de la polica, la justicia y la seguridad. Su conferencia de 2010, se realiz en Praga, y estuvo dedicada a una serie de tpicos tales como los estndares de proteccin de datos UE/ E.U.A. en el rea de cooperacin policial y judicial en materia penal, el uso

Ver <http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm>. Tales como derechos de propiedad intelectual, identificacin por radiofrecuencia (RFID), video vigilancia, normas corporativas vinculantes, historias clnicas electrnicas y ms recientemente sobre la proteccin de datos de carcter personal de los nios. Se pueden realizar consultas en lnea al Grupo de Trabajo del Artculo 29 ("GT29") en <http://ec.europa.eu/justice/policies/privacy/workinggroup/consultations/index_en.htm>. 500 Los documentos adoptados por el GT29 estn disponibles en <http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2010_en.htm>.
499 498
156
de escneres de cuerpo entero para seguridad aeroportuaria y el futuro de la privacidad y la proteccin de datos en Europa. Las Autoridades de Proteccin de Datos de Europa Central y Oriental (CEEDPA, en ingls): en el 2001, los Comisionados de Proteccin de Datos de la Repblica Checa, Hungra, Lituania, Eslovaquia, Estonia, Letonia y Polonia suscribieron una declaracin conjunta acordando tener una cooperacin y asistencia estrechas.501 Desde entonces a estos pases se les han unido Bulgaria, Rumania, Croacia y Macedonia. La 12da Reunin de los Comisionados de Proteccin de Datos de Europa Central y Oriental se realiz en Mayo de 2010 en Sopot (Polonia) y a ella concurrieron delegaciones de Albania y Moldavia.
Agencia Europea de Seguridad de las Redes y de la Informacin

La Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA, en ingls) es una agencia de la UE, la cual formalmente se constituy en el 2004.502 La agencia asiste a la Comisin Europea, los Estados Miembros, y al sector privado en el cumplimiento de los requerimientos de la seguridad de redes y de la informacin. La ENISA tambin hace el seguimiento del desarrollo de estndares, promueve actividades de evaluacin de riesgos y de rutinas interoperables de gestin de riesgos y produce investigaciones en aquellos temas que tienen impacto en las organizaciones del sector pblico y privado.
Agencia de los Derechos Fundamentales de la Unin Europea

La Agencia de los Derechos Fundamentales de la Unin Europea503 (FRA, en ingls), con sede en Viena, fue establecida por el Reglamento del Consejo 168/2007.504 Esta reemplaz al Observatorio Europeo del Racismo y la Xenofobia (EUMC, en ingls). La FRA asesora a instituciones de la UE, y a Estados Miembros cuando adopten la legislacin de la UE, cuando toman medidas o deciden cursos de accin, con objeto de garantizar el pleno cumplimiento de los derechos fundamentales.505 Estos incluyen los derechos fundamentales reconocidos por la Convencin Europea de Derechos Humanos (ECHR, en ingls) y por la Carta de los Derechos Fundamentales de la Unin Europea. La Agencia est facultada, entre otras cosas, a informar al pblico, desarrollar normas para mejorar la comparabilidad, realizar investigaciones y formular y publicar conclusiones y dictmenes, ya sea por propia iniciativa o a peticin de la Comisin Europea, el Consejo de Europa o el Parlamento Europeo, sobre temas vinculados a la proteccin de datos y la privacidad.506 Para llevar a cabo estos cometidos, sta coopera con una serie de organismos e instituciones de la UE e internacionales; especialmente

La pgina web de las Autoridades de Proteccin de Datos de Europa Central y Oriental es: <http://www.ceecprivacy.org/>. 502 La pgina principal de ENISA es <http://www.enisa.europa.eu/>. 503 La pgina principal del FRA es <http://fra.europa.eu/fraWebsite/home/home_en.htm>. 504 Reglamento del Consejo No 168/2007 del 15 de febrero de 2007 por el que se crea una Agencia de los Derechos Fundamentales de la Unin Europea, DO L 53, 22 de febrero de 2007, pginas 1-14. Disponible en <http://fra.europa.eu/fraWebsite/attachments/reg_168-2007_es.pdf>. 505 Id., Art. 2. 506 Id., Art. 4.
501
157
con el Consejo de Europa, para evitar la duplicacin del trabajo, pero tambin para con los Estados Miembros y la sociedad civil.507
EL CONSEJO DE EUROPA
El Consejo de Europa es distinto de la UE. En 1950 el Consejo de Europa adopt la Convencin Europea de Derechos Humanos, la cual es actualmente aplicable en todos los Estados Miembros de la UE.508 El Artculo 8 prrafo 1 de la Convencin Europea de Derechos Humanos (ECHR) declara que todos tienen derecho al respeto a su vida privada y familiar, su hogar y su correspondencia.509 El Prrafo 2 dispone que el derecho mencionado anteriormente no es absoluto en el sentido de que puede ser aceptable para las autoridades pblicas limitarlo cuando la "interferencia" esta "de acuerdo a ley" y es "necesaria en una sociedad democrtica" en la bsqueda de uno o ms de los siguientes objetivos legtimos: "en aras de la seguridad nacional, la seguridad pblica o el bienestar econmico del pas, para la prevencin del desorden o del crimen, para la proteccin de la salud o de la moral o para la proteccin de los derechos y libertades de otros." El Tribunal Europeo de Derechos Humanos (ECHR, en ingls), con sede en Estrasburgo, es el intrprete supremo de la Convencin Europea de Derechos Humanos (ECHR). En todos estos aos ha estado aclarando el alcance protector del Artculo 8 de la Convencin Europea de Derechos Humanos, en especial en relacin con el tratamiento de datos de carcter personal. El Tribunal ha establecido en particular que el derecho al respeto a la vida privada del Artculo 8 de la Convencin Europea de Derechos Humanos incluye una serie de obligaciones positivas de parte de los Estados, los cuales pueden involucrar la adopcin de medidas diseadas para garantizar la proteccin de los datos de carcter personal en la esfera de las relaciones interpersonales.510 En varias sentencias, la Corte se ha referido explcita o implcitamente a los principios de la proteccin de datos.511 Siguiendo los avances de las tecnologas de la informacin, el Consejo de Europa emiti, por separado, un Convenio para la Proteccin de Personas en relacin al Tratamiento Automtico de Datos de Carcter Personal en 1981 (conocido como el

507 508
Id., Art. 7.
Ver <http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=005&CM=8&DF=15/11/2010&C L=ENG>. 509 Id. 510 Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 20511/03, 17 de julio de 2008, I. contra. Finlandia, Sentencia, 36-38. Disponible en <http://www.5rb.com/docs/I-vFinland%20ECHR%2017%20July%202008.pdf>. 511 Ver, por ejemplo, Tribunal Europeo de Derechos Humanos (ECtHR), Expediente No. 9248/81, 26 de marzo de 1987, Leander contra Suecia, Sentencia, 48; Tribunal Europeo de Derechos Humanos (ECtHR), Gran Sala, Expediente No. 14310/8828, 28 de octubre de 1994, Murray contra El Reino Unido, Sentencia, 84; Gran Sala, Expediente No. 28341/95, 4 de mayo de 2000, Rotaru contra Rumania, Sentencia, 43 y 44; Gran Sala, Expediente No. 27798/95 16 de diciembre de 2000, Amann contra Suiza, Sentencia, 15-29, 65; Expediente No. 44787/98, 25 de septiembre de 2001, P.G. y J.H. contra El Reino Unido, Sentencia, . 59; Expediente No. 44647/98, 28 de enero de 2003, Peck contra El Reino Unido, Sentencia, 59; Gran Sala, Expedientes Nos. 30562/04 y 30566/04, 4 de diciembre de 2008, S. y Marper contra El Reino Unido, Sentencia, 68.
158
"Convenio No. 108").512 A las Partes de este Convenio, entre los cuales se hallan todos los Estados Miembros de la UE, se les exige implantarlo en su legislacin nacional. El Convenio No. 108 est abierto para cualquier pas que haya promulgado legislacin "en concordancia con" los estndares establecidos por ste; y ste fue modificado en 1999 haciendo posible que la UE pudiera adherirse al mismo.513 En el 2001 se aprob un Protocolo Adicional relativo a las autoridades de supervisin y a los flujos transfronterizos de datos, el cual entr en vigor en el 2004.514 Ms adelante, el Convenio No. 108 se complement con una serie de Recomendaciones,515 tales como la Recomendacin que Regula el uso de los Datos Personales en el mbito Policial.516 Recientemente, el Comit Consultivo del Convenio para la Proteccin de Personas en relacin al Tratamiento Automtico de Datos de Carcter Personal ha estado trabajando activamente en el tema de creacin de perfiles. Este adopt en junio de 2010 un Proyecto de Recomendacin sobre el tema.517 Adems, ste ha iniciado un proceso de anlisis del Convenio No. 108 y se espera que se empiece a debatir su posible revisin en un corto plazo.

Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal, adoptado por el Consejo de Europa en Estrasburgo, 28 de enero de 1981, disponible en <http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm>. 513 Modificaciones al Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal (ETS No. 108) que permite a las Comunidades Europeas adherirse, adoptado por el Comit de Ministros, en Estrasburgo, 15 de junio de 1999, disponible en <http://conventions.coe.int/Treaty/en/Treaties/Html/108-1.htm>. 514 Protocolo Adicional al Convenio para la proteccin de personas naturales relativo al tratamiento automtico de datos de carcter personal, en relacin a autoridades de supervisin y a flujos transfronterizos de datos (CETS No. 181), aprobado por el Comit de Ministros del Consejo de Europa en Estrasburgo, 8 de noviembre de 2001, disponible en <http://conventions.coe.int/treaty/en/Treaties/Html/181.htm>. 515 Todas las recomendaciones estn disponible en <http://www.coe.int/t/dghl/standardsetting/dataprotection/Legal_instruments_en.asp>. 516 Recomendacin del Consejo de Europa No. R (87) 15 del Comit de Ministros a los Estados Miembros regulando el uso de datos personales en el mbito policial. 517 Comit Consultivo del Convenio para la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal, Proyecto de Recomendacin sobre la proteccin de personas en relacin al tratamiento automtico de datos de carcter personal en el contexto de creacin de perfiles, adoptado en su reunin plenaria 26ta, junio de 2010, Estrasburgo.
512
159
160
E. Espaa

518
(Extracto de: Privacidad y Derechos Humanos en Europa 2010 )

I. NORMATIVA DE LOS DERECHOS DE PRIVACIDAD Y PROTECCIN DE DATOS PERSONALES Y MARCO INSTITUCIONAL
Derechos de privacidad y proteccin de datos personales recogidos en la Constitucin
La Constitucin Espaola reconoce el derecho a la intimidad personal, el secreto de las comunicaciones y la proteccin de datos de carcter personal. El Artculo 18 de la Constitucin dice lo siguiente: "(1) Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. (2) El domicilio es inviolable. Ninguna entrada o registro podr hacerse en l sin consentimiento del titular o resolucin judicial, salvo en caso de flagrante delito. (3) Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegrficas y telefnicas, salvo resolucin judicial. (4) La Ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."519
Normas legales y reglamentos sobre los derechos de privacidad y proteccin de datos personales
Legislacin general
La primera Ley Orgnica Espaola sobre esta materia es la de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal (LORTAD), promulgada en el ao 1992 y modificada en el ao 1999 en la Ley Orgnica de Proteccin de Datos (LOPD), que sita a la legislacin espaola ms en lnea con la Directiva Europea de Proteccin de Datos.520 La LOPD es aplicable a los ficheros de informacin del sector pblico y privado. La Ley establece que los ciudadanos tienen derecho a acceder a sus datos personales sometidos a tratamiento electrnico y les garantiza el derecho de

El informe EPHR (European Privacy and Human Rights) "Spain" ("Espaa") ha sido actualizado en octubre de 2010 por Antoni Farriols Sola, Comisin de Libertades e Informtica (Madrid), en noviembre de 2010 por Ferran Adell, Universitat Autnoma de Barcelona y en enero de 2011 por Javier Sempere (Agencia de Proteccin de Datos de la Comunidad de Madrid). 519 La Constitucin Espaola, reformada en agosto de 1992, en <http://www.constitucion.es/>. 520 Vase la Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal (LORTAD), vigente hasta el 14 de enero de 2000, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1992/24189>; Vase tambin la Ley Orgnica 15/99 de 13 de Diciembre 1999 de Proteccin de Datos de Carcter Personal (LOPD), en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1999/23750>.
518
161
rectificar o cancelar los datos inexactos o incorrectos. Adems, la LOPD tambin restringe el acceso a los datos por cuenta de terceros al requerir el consentimiento del afectado para el propsito especfico para el que fueron recogidos sus datos. Se protegen de forma cualificada los datos especialmente sensibles. Sin embargo, las asociaciones de consumidores manifestaron en su da su preocupacin por las disposiciones de la Ley que permitan el uso de la informacin sin consentimiento, excepto cuando el consumidor hubiera indicado expresamente lo contrario. En 1999, se aprob un reglamento sobre las medidas secundarias necesarias para proteger sistemas de ficheros automatizados de acuerdo con la LOPD.521 Un nuevo Real Decreto publicado el 19 de enero de 2008 y que entr en vigor el 19 de abril de 2008, implementa la LOPD para impedir el uso de datos de carcter personal sin previo conocimiento y consentimiento del interesado. Garantiza que cualquier persona tendr el derecho de acceso, rectificacin, cancelacin u oposicin de sus datos de carcter personal y de revocar su consentimiento al responsable del fichero de forma fcil y libre de cargos. El Decreto tambin protege con medidas de seguridad ms estrictas los datos especialmente sensibles.522 El Real Decreto 1720 /2007 implementa la Ley Orgnica 15/1999 de proteccin de datos de carcter personal e introduce algunas novedades: regula el consentimiento para el tratamiento de datos de los menores de edad (el menor de 14 aos necesita el consentimiento de sus padres) y establece las medidas de seguridad a seguir para tratar los datos de carcter personal en ficheros no automatizados. Este Decreto tambin establece el Procedimiento Administrativo que los responsables del fichero han de observar para facilitar el acceso del interesado a sus datos personales, el procedimiento para registrar los cdigos de comportamiento y las condiciones bajo las que el responsable del fichero est autorizado a tratar los datos de carcter personal con fines histricos, estadsticos o cientficos. El Real Decreto tambin trata otras cuestiones que fueron reguladas previamente en otros Reales Decretos e instrucciones,523 como el movimiento internacional de datos personales, los procesos de ejecucin de la Agencia Espaola de Proteccin de Datos y los derechos de las personas, como el derecho de acceso a los propios datos y los derechos de cancelacin, rectificacin u oposicin. Otro Real Decreto de 8 de enero de 2010, modifica la LOPD para impedir el intercambio y comparacin de datos de carcter personal entre distintos ficheros, sin el consentimiento previo del interesado.524

Vase el Real Decreto 994/1999, del 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, en <http://noticias.juridicas.com/base_datos/Admin/rd994-1999.html>. 522 Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, 21 de diciembre de 2007, BOE No. 17, 19 de enero de 2008, en <https://www.agpd.es/portalweb/canaldocumentacion/legislacion/estatal/common/pdfs/RD_1720_2007.p df>. 523 Una "instruccin" es un documento legal elaborado por la AEPD que es vinculante para los responsables del fichero y regula un rea especfica relacionada con la proteccin de datos de carcter personal (p. ej. la vigilancia o el movimiento internacional). 524 Real Decreto 3/2010 Disposicin adicional cuarta. Modificacin del Reglamento de desarrollo de la Ley Orgnica 15/1999 de proteccin de datos de carcter personal aprobado por Real Decreto 1/20/2007, 8 de enero de 2010 (Real Decreto 3/2010), en espaol en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/art.81.5b _RDLOPD.pdf>.
521
162
Legislacin sectorial
La Ley Orgnica 4/2007 de 12 de abril de Universidades525 permite la publicacin en Internet de las calificaciones de los estudiantes universitarios. La Ley 30/2007, de 30 de octubre, de Contratos del Sector Pblico526 regula las condiciones para contratar a personas responsables del tratamiento de datos de carcter personal por parte de los Organismos pblicos.
Agencia espaola de proteccin de datos

La Agencia Espaola de Proteccin de Datos (AEPD) se encarga de aplicar la LOPD.527 En 2000, el Tribunal Constitucional Espaol dicta tres sentencias relacionadas con la legislacin de proteccin de datos y con la AEPD y su potestad para aplicar dicha legislacin.528 La primera, por un recurso de inconstitucionalidad respecto a la Ley Orgnica de 1992, por incumplimiento de las disposiciones contenidas en la Constitucin relativas al conflicto de competencias entre el Estado y otros Entes Pblicos (como la AEPD). El Tribunal rechaza este recurso. La segunda sentencia est relacionada con otro recurso de inconstitucionalidad originariamente contra la Ley de 1992 y que finalmente se present contra la Ley de 1999. Esta sentencia defiende la constitucionalidad de la Ley en general, a pesar de que el Tribunal revoca algunas disposiciones que permiten la cesin entre Administraciones de datos de carcter personal sobre ciudadanos espaoles sin su consentimiento. El Tribunal resuelve que dichas disposiciones infringen el derecho a la intimidad garantizado a los ciudadanos en virtud del Artculo 18 de la Constitucin Espaola.529 La tercera sentencia est relacionada con un caso de tratamiento de datos de salud de un trabajador por parte del empresario. El Tribunal considera que se infringe el derecho a la intimidad constitucional del demandante cuando el empresario incluye los datos mdicos del trabajador en el fichero de los partes de baja. Para poder velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, la AEPD mantiene un registro de ficheros en Espaa y se encarga de controlar las infracciones de la LOPD. En diciembre de 2007,530 haba 1.017.266 ficheros inscritos, 61.553 de titularidad privada y 955.713 de titularidad

Ley Orgnica 4/2007, de 12 de abril, por la que se modifica la Ley Orgnica 6/2001, de 21 de diciembre, de Universidades, BOE Nm. 89, 13 de abril de 2007. 526 Ley 30/2007, de 30 de octubre, de contratos del sector pblico Ley 30/2007 de contratos del sector pblico, BOE Nm., 31 de octubre de 2007, en <http://www.cert.fnmt.es/legsoporte/Ley%20302007.pdf>. 527 Vase Agencia Espaola de Proteccin de Datos <https://www.agpd.es>. 528 Sentencias 290/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-T-2001330>, 292/2000 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2000-5236> y 202/1999 <http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1999-3782> respectivamente. 529 Sentencia 292/2000, supra. 530 En 2005, se iniciaron 387 procedimientos administrativos sancionadores, en comparacin con los 148 de 2002. Las fases instructoras se incrementaron en un 60%, de 723 en 2002 a 1158 en 2005. Los procedimientos contra organismos oficiales se triplicaron, de 13 en 2002 a 52 en 2005. AEDP, Memoria 2005, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/memorias/memorias_2005/common/pdfs/M EMORIA-APD_2005.pdf>.
525
163
pblica, en comparacin con los 815.093 ficheros inscritos en diciembre de 2006, 56.138 de titularidad privada y 758.955 de titularidad pblica.531 En 2007 el nmero de denuncias presentadas al Canal del Ciudadano de la AEPD se incrementa en un 30 por ciento (para un total de 47.741 consultas). Las visitas a la pgina web de la AEPD aumentan, de 1.518.714 en 2006 a 2.230.120 en 2007.532 Durante el 2007533 el nmero de trabajadores de la AEPD pasa a ser 103, de los 99 en 2006.534 En 2007, hay 849 resoluciones sobre procedimientos de tutela de derechos,535 frente a las 556 en 2006 y las 579 en 2005.536 Tambin en 2007 se inician 879 procedimientos sobre tutela de derechos, 617 de ellos relacionados con el derecho de acceso a los propios datos, 545 con el derecho de cancelacin, 26 con el derecho de rectificacin de los propios datos y 32 con el derecho de oposicin. Se dictan 849 resoluciones, 617 de las cuales son estimativas y 155 desestimativas.537 La AEPD lleva a cabo 396 procedimientos sancionadores en 2007, en comparacin con los 326 llevados a cabo en 2006.538 Entre el 2008 y el 2010, la AEPD publica varias guas para la correcta aplicacin de la LOPD: la "Gua de Proteccin de Datos para Responsables de Ficheros" que incluye herramientas y reglas para el tratamiento de los ficheros de acuerdo con la LOPD;539 la "Gua de Seguridad de Datos";540 un informe sobre los derechos de los menores y las obligaciones de sus progenitores;541 una gua sobre video vigilancia respetando la LOPD, dirigida a empresas, asociaciones y particulares;542 y la ltima, en 2009, sobre la proteccin de datos en las relaciones laborales.543 La AEPD tambin mejora su sitio web: incluye una nueva seccin con informacin prctica sobre la proteccin de datos en Internet.544

AEPD, Memoria 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria _AEPD_2007.pdf>. 532 Id. 533 En 2005 el personal de la AEDP pas de los 89 a los 98 empleados. AEDP, Memoria 2005, supra. 534 AEDP, Memoria 2007, supra. 535 AEDP, Memoria 2007, supra. 536 Correo electrnico de Esperanza Zambrano Gmez, Agencia Espaola de Proteccin de Datos, a Guilherme Roschke, Skadden Fellow, Electronic Privacy Information Center (EPIC), 2 de agosto de 2007. 537 AEDP, Memoria 2007, supra. 538 AEDP, Memoria 2007, supra. 539 Gua de Proteccin de Datos para Responsables de Ficheros, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsab le_ficheros.pdf>. 540 Gua de Seguridad de Datos, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad _datos_2008.pdf>. 541 Derechos de los menores y obligaciones de sus progenitores en <https://www.agpd.es/portalwebAGPD/canal_joven/common/pdfs/recomendaciones_menores_2008.pdf> . 542 Gua sobre Videovigilancia en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/ guia_videovigilancia_en.pdf>. 543 Gua de la Proteccin de Datos en las Relaciones Laborales, en <https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/ guia_relaciones_laborales.pdf>. 544 Pgina web de la AEPD <https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/indexides-idphp.php>.
531
164
En noviembre de 2009, la AEDP organiza la XXXI Conferencia Internacional de Proteccin de Datos y Privacidad. Al final de esta reunin internacional, los comisarios presentan una propuesta conjunta para el proyecto de Estndares Internacionales para la proteccin de la privacidad y de los datos de carcter personal. El propsito del documento es definir un conjunto de principios y derechos que garanticen la proteccin uniforme efectiva e internacional de la privacidad en relacin con el tratamiento de datos de carcter personal a la vez que facilite el movimiento internacional de dichos datos a escala mundial.545 Las memorias anuales de 2008 y 2009 de la AEPD indican que la mayora de las reclamaciones sobre la proteccin de datos se relacionan con Internet, la video vigilancia y las listas de morosos. En octubre de 2008, el Director de la AEPD comparece ante la Comisin Constitucional del Congreso de los Diputados para dar cuenta de la Memoria 2007 de la AEPD. En su discurso expresa que los ciudadanos son prioridad para la AEPD y que es necesario concienciar a la ciudadana sobre el derecho a la proteccin de sus datos, proporcionndoles ms informacin y animndoles a que denuncien y recurran cuando consideren que sus derechos han sido vulnerados. Tambin habla de los temas en los que la AEPD pone un mayor inters: la video vigilancia, la publicidad mediante mvil e Internet, la difusin de imgenes a travs de Internet o YouTube o, por ejemplo, los motores de bsqueda.546 Por ltimo, manifiesta: "La conclusin es clara: la concienciacin ciudadana en Espaa es superior a la media europea."547 En abril de 2008, la AEPD organiza una reunin informativa para hablar sobre las novedades de la LOPD. Dicha reunin cuenta con la asistencia de ms de 2.000 personas de los sectores pblico y privado.548 La Memoria 2007 de la AEPD incluye una seccin con recomendaciones surgidas de la experiencia de la Agencia, que resultan especialmente interesantes para el pblico en general. En la esfera legal, afirma la necesidad de la autorregulacin de la publicacin annima, en lnea o fuera de lnea, de los reglamentos y sentencias sobre los sistemas internos de presentacin de informes gestionados por empleados dentro de las empresas, para garantizar la confidencialidad del demandante y los derechos del acusado. Tambin incide en la necesidad de elaborar un "Plan de Promocin de Buenas Prcticas" que garantice la privacidad. La AEPD tambin apunta en su Memoria 2007 que en el caso de litigios relacionados con redes entre pares (P2P), donde convergen las cuestiones legales de la privacidad y de los derechos de autor, slo mediante una ley se podr determinar qu datos personales se pueden utilizar y con qu objeto, as como establecer el equilibrio entre la proteccin de datos y la propiedad intelectual.549 A este respecto, la AEPD propone una

Propuesta Conjunta de Estndares Internacionales de Proteccin de Datos y Privacidad, en <https://www.agpd.es/portalwebAGPD/internacional/Estandares_Internacionales/index-ides-idphp.php>. 546 Comparecencia ante la Comisin Constitucional del Congreso de los Diputados del seor Director de la AEPD, para informar sobre la Memoria 2007 de la AEPD, 1 de octubre de 2008 en <https://www.agpd.es/portalweb/canaldocumentacion/comparecencias/common/pdfs/comparecencia_200 8.pdf>. 547 Id. 548 I Sesin Anual Abierta de la AEPD, 22 de abril de 2008, en <https://212.170.242.196/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php>. 549 AEPD, Memoria 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria _AEPD_2007.pdf>.
545
165
iniciativa de impulso de cautelas especiales para evitar el intercambio indeseado de datos especialmente protegidos a travs de redes P2P en Internet.550 (Vase ms informacin en el apartado "Comercio electrnico") En enero de 2005, la AEPD decide publicar sus resoluciones en su pgina web, un mes despus de haberlas notificado a los interesados, para lograr una mayor transparencia en su actividad y contribuir a su conocimiento pblico551, a excepcin de las relacionadas con la inscripcin de los ficheros en el Registro General de Proteccin de Datos. Dos cuestiones que la AEPD trata con especial inters en 2004 y 2005 son la lucha contra el "spam" y el estmulo a las pequeas y medianas empresas (PYMES) para que registren sus ficheros de datos personales en el Registro General de Proteccin de Datos (RGPD). A pesar de que el registro de los ficheros de datos personales es obligatorio, slo un 10 por ciento de las PYMES que funcionan en Espaa cumplen la ley.552 En relacin a la lucha contra el "spam", la AEPD anuncia a tal efecto la firma de un acuerdo, Protocolo de Acuerdo con la Comisin Federal del Comercio de los Estados Unidos. Este protocolo trata de facilitar la colaboracin entre Espaa y Estados Unidos de Amrica en su lucha contra el "spam". Tambin anuncia que se han llevado a cabo cientos de investigaciones en relacin con este problema, que resultan en 14 acciones legales por infraccin de la legislacin de proteccin de datos, seis de las cuales fueron resueltas. De estos seis casos resueltos, dos fueron calificados como "infracciones graves", otros dos como "infracciones menos graves" y los dos restantes fueron desestimados.553 En general, las infracciones contra la normativa anti-spam podrn sancionarse con multas de hasta 30.000 euros. En 2004, la AEPD considera el "Carcter de Dato Personal de la Direccin IP"554 y establece que la direccin IP ha de considerarse un "dato de carcter personal" y que, por consiguiente, el responsable del fichero que maneje dicha informacin deber observar lo establecido en la LOPD. La no observacin de lo establecido podr sancionarse con multas para el infractor de hasta 300.000 euros.555
Jurisprudencia sobre los derechos de privacidad y proteccin de datos personales

El 16 de agosto de 2010, un Juzgado de Madrid admite a trmite la denuncia presentada por la asociacin de usuarios de Internet APEDANICA, segn la cual Google habra recogido y almacenado ilegalmente informacin de usuarios de redes WiFi durante la

Id. Instruccin 1/2004, de 22 de diciembre, de la Agencia Espaola de Proteccin de Datos sobre la publicacin de sus resoluciones <https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion1-2004.pdf>. 552 "Slo el 10% de las PYMES espaolas cumple la Ley de Proteccin de Datos", Atlntico, 13 de abril de 2005. 553 AEPD, nota de prensa, 23 de febrero de 2005, en <https://www.agpd.es/upload/Prensa/Nota%20eeuu.pdf>. 554 Agencia Espaola de Proteccin de Datos, "Carcter de dato personal de la direccin IP," (Informe 327/03), en <https://www.agpd.es/index.php?idSeccion=390>. 555 Marta Escudero y Javier Maestre, "Como consecuencia, muchos webmasters debern registrar sus ficheros en la Agencia," 5 de julio de 2004, en <http://www.kriptopolis.com/more.php?id=201_0_1_0_M>.
551 550
166
captura de imgenes para su servicio Street View desde 2008556. Segn la AEPD, los hechos podran infringir la Ley Orgnica de Proteccin de Datos de Carcter Personal557. (Vase ms informacin en el apartado "Derecho a la intimidad en exteriores") En 2008 el Tribunal Supremo conoce de un caso en el que el demandado, la Asociacin Contra la Tortura, publica en Internet una lista de nombres y apellidos de las personas investigadas por tortura. El Tribunal Supremo, en Sentencia de 26 de junio de 2008, confirma la decisin tomada por la AEPD de sancionar a la Asociacin por haber publicado datos personales en Internet sin el consentimiento de los sujetos. El Tribunal Supremo considera que no se puede alegar el derecho a la libertad de expresin.558 El Tribunal Superior de Justicia de las Comunidades Europeas resuelve en su Sentencia de 28 de enero de 2008 que las Directivas sobre proteccin de derechos de autor no obligan a divulgar datos personales en un proceso civil, pero que las autoridades competentes de los Estados Miembros deben adoptar medidas para garantizar el equilibrio entre los derechos de autor y propiedad intelectual y los de privacidad y proteccin de datos personales.559 (Vase ms informacin en el apartado "Comercio electrnico") El Tribunal Supremo no admite la cancelacin de datos en libros de bautismo: revoca la sentencia dictada con fecha 10 de octubre de 2007 por la Audiencia Nacional que ratificaba el criterio mantenido por la AEPD desde 2004. La AEPD considera los libros de bautismo ficheros que contienen datos de carcter personal y, por lo tanto, pide que se les apliquen los principios de proteccin de datos, como el principio de calidad y exactitud de los datos.560 En 2007 se dan dos sentencias del Tribunal Supremo sobre el derecho a la intimidad en el trabajo: en el primer caso, el empresario utiliza las huellas dactilares de sus

AFP, "Spanish Judge Probes Complaint over Google's Street View," ("Un magistrado espaol admite una demanda sobre el Street View de Google"), 16 de agosto de 2010 <http://www.google.com/hostednews/afp/article/ALeqM5j2pPKEWPkNBcWqrYYj-BUlHA3Ntg>. Vase tambin "Spanish DPA Opens Infringement Procedures for Google Streetview", ("La AEPD abre una investigacin a Google por el StreetView"), EDRi-gram - Nmero 8.20, 20 de octubre 2010 <http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View Faces Citizens' Reservation in EU", (El Street View de Google se enfrenta las reservas de los ciudadanos en la UE), EDRi-gram Nmero 8.16, 25 de agosto de 2010, <http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>; Fiona Govan, "Spain Takes on Google over Privacy Violations in Street View", ("Espaa se enfrenta a Google por la infraccin del derecho a la intimidad de su servicio Street View"), The Telegraph, 17 de agosto de 2010 <http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>. 557 AEPD, "La AEPD abre una investigacin a Google por la captacin de Datos de Redes WI-FI en Espaa", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/ 100519_NP_GOOGLE_WIFI_WEB.pdf>. 558 AEPD, "Desestima el recurso de casacin interpuesto por la Asociacin contra la Tortura. El TS confirma el criterio de la AEPD al sancionar y cancelar la difusin de datos de funcionarios en la Web de la Asociacin contra la Tortura", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2008/notas_prensa/common/julio/ NP_180708_tribunal_supremo.pdf>. 559 Id. 560 AEPD, "El Tribunal Supremo no admite la cancelacin de datos en libros de bautismo", en <https://www.agpd.es/portalweb/revista_prensa/revista_prensa/2008/notas_prensa/common/sept/np_0809 30_sentencia_TS.pdf>.
556
167
trabajadores para controlar sus actividades en horario laboral y en el segundo, el empresario realiza una intromisin en el correo electrnico y las pginas de Internet visitadas por sus trabajadores. (Vase ms informacin en el apartado "Jurisprudencia sobre los Derechos de Privacidad y Proteccin de Datos Personales") En diciembre de 2004, 12 personas de diferentes agrupaciones sociales de Catalua presentan una denuncia ante la AEPD por la inclusin de sus datos personales y fotografas en un fichero ilegal de naturaleza "poltica" por parte de la Brigada Provincial de Informacin. Los demandantes no tenan antecedentes penales, pero formaban parte de una lista de 30 personas cuyas fotografas fueron mostradas durante su interrogatorio el 3 de octubre de 2004 a tres detenidos acusados de lanzar ccteles molotov contra la comisara del distrito barcelons de Sants. Este procedimiento slo habra sido legal si las personas cuyas fotografas fueron mostradas hubieran tenido antecedentes penales. Adems, las fotografas mostradas no son las de sus DNI, sino que haban sido tomadas durante su participacin en actividades pblicas. Los demandantes alegan que se ha infringido el Artculo 7.4 de la LOPD de 1999, que prohbe "los ficheros creados con la finalidad exclusiva de almacenar datos de carcter personal que revelen la ideologa, afiliacin sindical, religin, creencias, origen racial o tnico, o vida sexual." La polica niega que dispusiera de un fichero con la identidad de personas vinculadas a agrupaciones sociales y declara que el nico archivo existente es el de los ciudadanos con antecedentes, aunque admite que la polica trabaja con un fichero para sus investigaciones, que est tutelado por la Agencia Espaola de Proteccin de Datos.561
II. CAMPOS DE ACCIN

Seguridad Nacional, Vigilancia por parte del Gobierno y Aplicacin de la Ley
Escuchas, acceso a las comunicaciones e interceptacin
Segn el cdigo criminal, la interceptacin de comunicaciones electrnicas requiere una orden judicial.562 En Espaa ha habido diversos escndalos relacionados con la interceptacin ilegal por parte de los servicios de inteligencia. En 1995, el Vicepresidente Narcs Serra, el Ministro de Defensa Julin Garca Vargas y el Director de Inteligencia Militar Emilio Alonso Manglano tuvieron que dimitir despus de que saliera a la luz que haban interceptado las conversaciones de cientos de personas, entre ellas el Rey Juan Carlos.563 Ms recientemente, Juan Alberto Perote, antiguo Jefe de Operaciones del Centro Superior de Informacin de la Defensa (CESID, el servicio secreto espaol que form parte de las Fuerzas Armadas hasta 2002 cuando fue reemplazado por el CNI) fue declarado culpable el 12 de abril de 2005 y condenado a

"12 activistas de Barcelona denuncian que la polica les incluye en un fichero ilegal", El Pas, 30 de diciembre de 2004. 562 Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1995/25444>, Cdigo Penal, artculos 197-199. 563 "Los socialistas espaoles solicitan a la oposicin que se disculpe en el asunto de las escuchas", Reuters, 6 de febrero de 1996.
561
168
cuatro aos de crcel. En el primer juicio de 1999, Manglano y Perote fueron condenados a seis meses de crcel cada uno y otros cinco cargos del CESID tambin fueron condenados a seis meses, si bien el Tribunal Constitucional anul la sentencia el 29 de marzo de 2004 al considerar que el juez que instruy el caso no haba sido imparcial. Los cargos presentados contra Emilio Alonso Manglano y otros cinco empleados del CESID por una acusacin particular formada por personas y asociaciones que haban sido objeto de vigilancia fueron retirados. Perote critic la sentencia emitida en su contra alegando que su director Manglano y varios miembros del gobierno del Partido Socialista de aquel entonces saban de "esta actividad" llevada a cabo de 1983 a 1991.564 Las pruebas recogidas mediante escuchas ilegales estn sujetas a una norma de exclusin, y en noviembre de 2002 la Audiencia de Barcelona desestim un caso porque las pruebas estaban viciadas.565 En mayo de 2001, una acusacin pidi condenas de 12 aos para cada uno de dos detectives acusados de realizar escuchas ilegales.566 En diciembre de 2004 el Tribunal Superior declar que "la aprobacin de una normativa apropiada para las intercepciones telefnicas" no puede posponerse, tras retirar los cargos a dos presuntos narcotraficantes al considerarse irregulares las intercepciones telefnicas utilizadas para condenarlos en la Audiencia Nacional. Dicho Tribunal aadi que Espaa ya haba sido condenada por el Tribunal Europeo de Derechos Humanos por no especificar el carcter de los delitos que pueden dar lugar a esas intercepciones, ni establecer la duracin mxima de las mismas.567 La Ley General de Telecomunicaciones (LGT) de 2003 ampara el derecho de las personas a utilizar criptografa robusta, pero tambin incluye una disposicin, el artculo 36, que permite el uso de un sistema de recuperacin de claves.568 Las anteriores versiones de esta disposicin fueron objeto de una gran oposicin por parte de los abogados de libertades civiles.569 El nuevo artculo 36 no supone un gran cambio respecto al anterior artculo 52, que requera la notificacin de los algoritmos utilizados, pero sigue siendo ambiguo cuando se refiere a la creacin de un sistema de depsito de claves.570 A principios de 2004, el Cuerpo Nacional de Polica y la Guardia Civil informaron que iban a empezar a utilizar un nuevo programa de software, SINTEL, que les permite interceptar directamente comunicaciones telefnicas sin necesidad de recabar previamente una autorizacin judicial. SINTEL, que fue diseado en un acuerdo secreto

"Perote, condenado a cuatro meses de arresto por las escuchas del Cesid," El Pas, 13 de abril de 2005; y "Cuatro meses de prisin para Perote por las escuchas del Cesid," El Pas, 4 de abril de 2005. 565 "Secreto Comunicaciones Audiencia invalida pruebas obtenidas por 'pinchazo' telfono," Servicio Espaol de Noticias, 23 de noviembre de 2000. 566 "Pinchazos telefnicos: Fiscala pide 24 aos para detectives por pinchar telfonos," Servicio Espaol de Noticias, 7 de mayo de 2001. 567 "El Supremo cree inaplazable regular el control de telfonos," El Pas, 13 de diciembre de 2004. 568 Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones., <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/20253>, parcialmente traducido al ingls en <https://www.agpd.es/upload/Ley_32-2003_LGT.pdf>. 569 Vase Campaa para una Libertad Global en Internet (Global Internet Liberty Campaign), "La nueva Ley Espaola de Telecomunicaciones abre una puerta hacia los sistemas obligatorios de recuperacin de claves (New Spanish Telecommunications Law Opens a Door to Mandatory Key Recovery Systems)," julio de 1998, en <http://www.gilc.org/crypto/spain/gilc-crypto-spain-798.html>. 570 Vase "No al Articulo 36 restricciones a la criptografa: La nueva Ley General de Telecomunicaciones impone la obligacin de revelar las claves de cifrado," marzo de 2003, en <http://www.spain.cpsr.org/02042003.php>; Merc Molist, "El Congreso no aclara el depsito del cifrado en la Ley de Telecomunicaciones," El Pas, 12 de junio de 2003.
564
169
en octubre de 2001, funciona en tiempo real. Adems de registrar el contenido de la comunicacin, el programa tambin proporciona la identidad de los dos interlocutores y el lugar desde el que estn llamando.571 SITEL ha suscitado un debate controvertido sobre la necesidad de determinadas herramientas para luchar contra el crimen en Espaa y la defensa de los derechos fundamentales de los ciudadanos. La Asociacin de Internautas espaola present una mocin572 ante la Audiencia Nacional573 para que se pronunciara acerca de si la polica puede acceder a la base de datos personales de SITEL sin el consentimiento previo del juez y sin pruebas suficientes de que se est cometiendo una infraccin. La mocin fue desestimada.574 A principios de 2010, el Tribunal Supremo decidi que la polica poda tener acceso a determinados datos (nmeros de telfono, nombres y apellidos) de la agenda de mvil de las personas arrestadas sin una orden judicial, pero no al contenido de las llamadas ya que estn protegidas por el derecho constitucional de confidencialidad de las comunicaciones.
Legislacin sobre seguridad nacional

Tras el ataque terrorista a un tren de cercanas de Madrid el 11 de marzo de 2004 se anunci la implementacin de una serie de medidas en relacin con el problema del terrorismo islmico; entre las ms destacadas, estaba la puesta bajo vigilancia de imanes radicales y antiguos muyahidines (musulmanes que haban luchado en Afganistn o en los Balcanes) y la creacin de bases de datos para averiguar sus nmeros.575 El Proyecto de Ley de Defensa Nacional576, publicado el 31 de marzo de 2005, pretende ampliar el mbito de actividad del Centro Nacional de Inteligencia (o CNI),577 encomendndole la tarea de contribuir "a la obtencin, evaluacin e interpretacin de la informacin necesaria para prevenir y evitar riesgos o amenazas que afecten a la independencia e integridad de Espaa, a los intereses nacionales y a la estabilidad del Estado de Derecho y sus instituciones" (Artculo 26). La Ley se aprob el 17 de noviembre de 2005.578 Las palabras "riesgos o amenazas" modifican la redaccin del decreto por el que se cre el CNI y que estableca que su actividad era la de prevenir y evitar "el peligro, las amenazas o la agresin", expresin que no admite una interpretacin tan amplia. Diversos expertos citados en el peridico El Pas sugirieron que "el riesgo que afecta a la integridad de Espaa" es tan ambiguo que puede interpretarse que concede al servicio de inteligencia el papel de contrarrestar propuestas

"Polica y Guardia Civil pueden pinchar los telfonos informticamente," 19 de febrero de 2004, en <http://www.nodo50.org/tortuga/article.php3?id_article=204>. 572 Mocin de la Asociacin de Internautas en <http://www.internautas.org/archivos/pdf/STS_interceptacion_comunicaciones.pdf>. 573 Audiencia Nacional, pgina web <http://www.audiencianacional.es/>. 574 Tribunal Supremo, Sala de lo penal, Sentencia N 1078/2009, en <http://s.libertaddigital.com/doc/sentencia-del-ts-que-avala-sitel-22755838.pdf>. 575 "Censo de ex muyahidines e imanes radicales", El Pas, 30 de mayo de 2004. 576 Proyecto de Ley Orgnica de la Defensa Nacional 121/000031, Boletn Oficial de las Cortes Generales, 31 de marzo de 2005. 577 Servicio Espaol de Inteligencia. 578 Ley Orgnica 5/2005, de 17 de noviembre, de la Defensa Nacional, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2005/18933>.
571
170
polticas como el llamado Plan Ibarretxe, propuesto por el Lehendakari (el presidente del gobierno vasco) para cambiar el estatuto de la comunidad autnoma vasca.579
Retencin de datos
En 2007, el Parlamento aprob la Ley de Retencin de Datos (Ley 25/2007 de 18 de octubre de 2007)580 que implanta la Directiva de la UE sobre Retencin de Datos (2006/24/CE).581 Dicha ley establece que el periodo de retencin es de 12 meses y, adems, prohbe el anonimato de los usuarios de mviles con tarjeta prepago. Durante la fase de preparacin previa a la implementacin de la Directiva por parte del Parlamento organizaciones de Internet y de derechos civiles opusieron una fuerte resistencia a la misma y todos ellos se adscribieron a la campaa europea "La Retencin de Datos no es la solucin".582
Bases de datos nacionales creadas para hacer cumplir ley y velar por la seguridad
A consecuencia de los ataques terroristas de 2001 en los Estados Unidos de Amrica y de 2004 en Madrid, se promulgaron dos nuevas leyes con el fin de combatir el terrorismo. Estas dos leyes estn redactadas para complementarse entre s y afectan directamente al mbito de la proteccin de datos mediante la creacin de nuevas bases de datos de titularidad pblica. La primera de ellas tiene como objeto prevenir y bloquear la financiacin terrorista.583 Establece la creacin de una Comisin de Vigilancia de Actividades de Financiacin del Terrorismo. Esta institucin tiene autoridad para bloquear fondos, cuentas bancarias y dems activos financieros pertenecientes a organizaciones o personas vinculadas a actividades terroristas. Desarrolla sus investigaciones en la esfera administrativa y colabora con la judicatura a la hora de transmitir sus conclusiones a los jueces que instruyen las causas criminales. La ley establece la obligacin por parte de las instituciones financieras (a saber, los bancos, entidades de crdito, oficinas de cambio), y de todas las personas citadas en la ley contra el blanqueo de capitales (Ley 19/2003, descrita ms adelante), de colaborar aportando toda la informacin requerida (incluyendo datos personales) sobre los fondos congelados. En relacin con lo

"El Borrador permite al Servicio Secreto investigar cualquier riesgo que afecte a la integridad de Espaa," El Pas, 18 de marzo de 2005. 580 Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones, BOE nm. 251, 19 octubre 2007 (BOE Nm. 251, 19 de octubre de 2007, en <http://noticias.juridicas.com/base_datos/Admin/l25-2007.html>. 581 Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:01:ES:HTML>. 582 "La retencin de datos no es la solucin (Data Retention is no Solution)," <http://www.dataretentionisnosolution.com>. Vese tambin R-ES, "Cmo Te Afecta La Retencin de Datos?", 27 de septiembre de 2005 <http://wiki.dataretentionisnosolution.com/index.php/Texto_cpsr_es>. 583 Ley 12/2003, de 21 de mayo, de prevencin y bloqueo de la financiacin del terrorismo, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/10289>; vase tambin <http://www.igsap.map.es/cia/dispo/26927.htm>.
579
171
dispuesto en la LOPD, esta ley estipula, adems, que los ficheros creados por la Comisin de Vigilancia sern considerados ficheros de titularidad pblica y, por tanto, estn exentos en lo que se refiere a los derechos de acceso, rectificacin y cancelacin. No obstante, esta ley ha sido modificada recientemente por la Ley 10/2010, de 28 de abril de 2010, sobre la prevencin del blanqueo de capitales y financiacin del terrorismo584. Dicha ley prev la creacin de ficheros de personas con responsabilidad pblica, incluyendo los nombres y apellidos de sus familiares, y tiene como objeto el de prevenir el blanqueo de capitales y la financiacin del terrorismo. Esta ley implementa las Directivas 2005/60/CE y 2006/70/CE. La segunda normativa es la Ley 19/2003, promulgada en julio de 2003, que regula el movimiento de capitales y las transacciones internacionales.585 Esta ley tiene como objeto prevenir el blanqueo de capitales y est estrechamente relacionada con la ley sobre la financiacin de actividades terroristas. Fue aprobada como una modificacin de la ley de 1993 sobre la prevencin del blanqueo de capitales. La nueva normativa tambin incorpora a la legislacin nacional la Directiva 2001/97 sobre la prevencin del blanqueo de capitales.586 Esta ley no slo se aplica a crmenes terroristas, al trfico ilcito de estupefacientes y al crimen organizado (la situacin actual), tambin al resto de crmenes considerados graves (castigados con ms de tres aos de crcel) y a todas las actividades de blanqueo de capitales relacionadas. La ley tambin impone nuevas obligaciones a personas como auditores, contables externos (no slo a los contables internos de las empresas) y a asesores fiscales. Los notarios, juristas y letrados tambin tienen que colaborar respetando plenamente el secreto profesional y sin perjuicio del derecho constitucional a la defensa. La Ley Orgnica 10/2007 de 8 de octubre de 2007 regula la base de datos policial de ADN, controlada por el Ministerio del Interior. Esta base de datos contiene los registros de ADN obtenidos de investigaciones criminales (sin el consentimiento del titular de los datos) y de la identificacin de cadveres. La nueva ley dispone que deber borrarse un registro de ADN si el crimen entra dentro del periodo de limitacin. Si el titular de los datos es culpable, los datos se borrarn de acuerdo con la ley de antecedentes penales; y si no es culpable, su ADN deber borrarse de la base de datos.
Acuerdos nacionales e internacionales sobre la divulgacin de datos

No hay informes nuevos en esta seccin.

Ley 10/2010, de 28 de abril de prevencin del blanqueo de capitales y de la financiacin del terrorismo, en <http://noticias.juridicas.com/base_datos/Admin/l10-2010.html>. 585 Ley 19/2003, de 4 julio, sobre rgimen jurdico de los movimientos de capitales y de las transacciones econmicas con el exterior y sobre determinadas medidas de prevencin del blanqueo de capitales, en <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/13471>. 586 Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2001 sobre blanqueo de capitales: prevencin de la utilizacin del sistema financiero (Directiva del Parlamento Europeo y del Consejo 2001/97/CE de 4 diciembre de 2001 sobre el blanqueo de capitales: Prevencin de la utilizacin del sistema financiero), en <http://europa.eu.int/scadplus/leg/es/lvb/l24016.htm>.
584
172
Ciberdelincuencia
El 3 de junio de 2010, Espaa ratific la Convencin sobre Ciberdelincuencia del Consejo Europeo.
Infraestructura crtica
Internet y Privacidad del Consumidor

Comercio electrnico
En su Memoria Anual de 2007, la AEPD expona que, en los litigios sobre comunicaciones entre pares (P2P), donde convergen las cuestiones legales de la privacidad y de los derechos de autor, slo mediante una ley se podr determinar qu datos personales se pueden utilizar y con qu objeto, as como establecer el equilibrio entre la proteccin de datos y la propiedad intelectual.587 El Director de la AEPD se remiti a la resolucin del Tribunal de Justicia del 28 de enero de 2008, segn la cual "las Directivas sobre la proteccin de derechos de autor no imponen el deber de facilitar la divulgacin de datos personales en un proceso civil y las autoridades competentes de los Estados Miembros debern tomar las medidas adecuadas para garantizar el equilibrio entre los derechos de autor y la propiedad intelectual, por un lado, y la privacidad y la proteccin de datos personales, por el otro".588 A nivel administrativo, la Autoridad Espaola de Proteccin de Datos recomend una iniciativa para promover medidas especiales de precaucin con el fin de evitar el intercambio no deseado de datos personales en Internet a travs de las redes de intercambio de archivos entre pares (P2P). La AEPD insisti en que los usuarios deben ser conscientes de los riesgos que implica la divulgacin de la informacin almacenada en sus ordenadores y que deben evitar compartir de forma involuntaria por Internet cualquier carpeta que contenga archivos con datos personales.589
Seguridad ciberntica
Marketing con base en el comportamiento en Internet y privacidad de los motores de bsqueda

El 1 de diciembre de 2007, la AEPD emiti una recomendacin acerca de los motores de bsqueda de Internet. En ella adverta que la informacin contenida en las polticas

Memoria anual de la AEPD de 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/memorias/memorias_2007/common/pdfs/memoria _AEPD_2007.pdf>. 588 Id. 589 Id.
587
173
de privacidad de los motores de bsqueda sobre el uso de los datos personales no es suficientemente clara y, probablemente, es ininteligible para la comunidad general de usuarios de Internet. Tambin subraya que es necesario limitar el uso y el almacenamiento de datos personales. La informacin debe borrarse en cuanto deje de ser necesaria para la prestacin del servicio. Los servicios de motores de bsqueda estn obligados a permitir que los titulares de los datos ejerzan los derechos de cancelacin y oposicin en relacin con sus datos personales si stos aparecen en otras pginas web. Asimismo, alert sobre la necesidad de establecer estndares internacionales con el objeto de definir y acordar normas que garanticen la privacidad en Internet.590 La AEPD ha recibido numerosas quejas de personas que, como titulares de los datos personales, quieren ejercer su derecho a cancelar la publicacin de sus datos personales en los boletines oficiales. La Agencia de Proteccin de Datos de la Comunidad de Madrid, o APDCM, emiti una recomendacin (2/2008) sobre la publicacin de datos personales en los boletines oficiales591 y en las pginas web de las instituciones pblicas de la Comunidad de Madrid.592 El problema surgi cuando se demostr que mediante un simple motor de bsqueda pueden encontrarse fcilmente los nombres y los datos identificativos de personas en los boletines oficiales. La recomendacin autoriz a las instituciones pblicas de la Comunidad de Madrid para aplicar el principio de calidad siempre que publiquen disposiciones administrativas en los boletines oficiales o en sus pginas web (como sanciones, subvenciones, etc.). As por ejemplo, en el caso de las subvenciones, el principio de calidad establece que slo debe publicarse el resultado total de las subvenciones y no el parcial. Los boletines oficiales tambin han implementado dicho principio de tal forma que los nombres de personas publicados en los mismos no sean indexados por los motores de bsqueda online. Como respuesta a ello, el Ayuntamiento de Madrid public una instruccin593 sobre la publicacin de datos personales en su boletn oficial y, por su parte, la Autoridad Catalana de Proteccin de Datos (Autoritat Catalana de Protecci de Dades594) estableci una recomendacin sobre la publicacin de datos personales en Internet.595

Agencia Espaola de Proteccin de Datos, "Declaracin de la AEPD sobre buscadores de Internet (2007)", 1 de diciembre de 2007, en <https://www.agpd.es/portalweb/canaldocumentacion/recomendaciones/common/pdfs/declaracion_aepd_ buscadores_en.pdf>. 591 Los Boletines Oficiales son peridicos que se publican diariamente por los que los organismos pblicos hacen pblicos sus actos y resoluciones administrativas. [Nota del editor.] 592 Esto afecta a la administracin de la Comunidad de Madrid, ayuntamientos, asociaciones profesionales y universidades pblicas. 593 BOAM n 6341, 3 de enero de 2011, en <http://www.madrid.es/portales/munimadrid/es/Inicio/ElAyuntamiento/Boletin-Oficial-del-Ayuntamiento/Buscador-Boletines/1-Instruccion-Medidas-AgenciaProtec.-Datos-Cdad.-deMadrid?vgnextfmt=default&vgnextoid=4442a3045ef2d210VgnVCM2000000c205a0aRCRD&vgnextcha nnel=7a698db0ae967010VgnVCM1000009b25680aRCRD>. 594 Autoritat Catalana de Protecci de Dades, pgina web <http://www.apd.cat>. 595 Recomendacin 1/2008 de la Agencia Catalana de Proteccin de Datos sobre la difusin de informacin que contenga datos de carcter personal a travs de Internet, Abril 2008, en <http://www.apdcat.net/media/687.pdf>.
590
174
Redes sociales y comunidades virtuales online

En 2008, las reclamaciones presentadas ante la AEPD crecieron en un 45% con una especial preocupacin de los ciudadanos por Internet y las redes sociales.596 La AEPD ha trabajado con Tuenti (la red social espaola para jvenes con ms de 8 millones de usuarios) y Facebook para implantar un sistema de verificacin del usuario (consentimiento parental) para nios menores de 14 aos.
Seguridad para los jvenes en Internet

La Ley 34/2002 de 11 de julio de 2002 de Servicios de la Sociedad de Informacin y de Comercio Electrnico se modific por la Ley 56/2007 de 28 de diciembre de 2007 de medidas de impulso a la Sociedad de Informacin.597 La LOPD prohbe la captacin de datos de menores de 14 aos de edad sin el consentimiento de sus padres o tutores. Dado que muchos perfiles en las pginas web de redes sociales pertenecen a menores de 14 aos, en los dos ltimos aos han sido muchas las iniciativas en Espaa para mejorar el modo en que dichas pginas web protegen y controlan las actividades de los menores. Tambin se ha pedido una mayor implicacin por parte de las autoridades educativas nacionales y de los padres. El 9 de febrero de 2010 se celebr el Da Internacional de Internet Seguro, promovido por la Comisin Europea y organizado en la Unin Europea por INS@FE, la red europea de asociaciones que "defienden un uso seguro y responsable de los dispositivos de Internet y mviles entre la gente joven"598, y en Espaa, a travs de la asociacin "Protgeles". La AEPD tambin ha organizado varias actividades que pretenden aumentar la sensibilizacin sobre la privacidad entre los menores a travs de directrices y un rea especial en su pgina web.599 En 2009 y 2010, la Agencia de Proteccin de Datos de la Comunidad de Madrid lanz un proyecto dirigido a los menores, con presentaciones sobre los riesgos de la prdida de privacidad en Internet realizadas en cada uno de los 404 centros de educacin de la Comunidad de Madrid con la ayuda de profesores, directores y tutores, 60 expertos en privacidad (magistrados, abogados y consultores). La APDCM dio a los estudiantes un manual sobre privacidad600 en Internet, editado por la Comisin de Libertades

EFE, "Las reclamaciones ante proteccin de datos crecieron un 45% en 2008. Los Espaoles presentan una 'preocupacin extraordinaria' ante el auge de las redes sociales en Internet", El Pas.com, 15 de abril de 2009, en <http://www.elpais.com/articulo/sociedad/reclamaciones/Proteccion/Datos/crecieron/45/2008/elpepusoc/ 20090415elpepusoc_4/Tes>. 597 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y de Comercio Electrnico, en <http://noticias.juridicas.com/base_datos/Admin/l34-2002.html>. 598 Pgina web de INS@FE <http://www.saferinternet.org/>. 599 AEPD, Internet y Datos Personales <http://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php>; <http://www.agpd.es/portalweb/canalciudadano/menores/index-ides-idphp.php>. 600 Manuales prcticos del proyecto CLI-PROMETEO 2008-2009 <http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253706444391&language=es&pagei d=1252308394307&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaPublicacion&v est=1252308394307>.
596
175
Informticas, o CLI.601 Otros organismos para la proteccin de datos (de Catalua y el Pas Vasco) tambin han elaborado materiales especialmente dirigidos a los menores.602 La asociacin sin nimo de lucro CLI desarroll el proyecto "CLI-PROMETEO" con la intencin de fomentar el uso de las tecnologas de la informacin entre nios y adolescentes sin descuidar la proteccin de datos. El proyecto ha recibido la subvencin del Departamento de Industria, Turismo y Comercio y el apoyo de varias instituciones, entre ellas la AEPD.
Privacidad Territorial
Vigilancia por videocmara
La Ley Orgnica 4/1997603 regula el uso de sistemas de video vigilancia por la polica y para el control del trfico, mientras que la Ley 19/2007, de 11 de julio, contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte604 regula su uso en eventos deportivos. La Ley de Seguridad Privada de 1992605 y el Real Decreto-ley de Seguridad Privada606 regulan su uso por parte de empresas de seguridad y en los bancos. En diciembre de 2006, la AEPD public un nuevo reglamento sobre vigilancia por videocmara.607 Las imgenes obtenidas por cmaras situadas en lugares pblicos deben considerarse datos personales, y los archivos que contienen tanto imgenes como datos derivados de las mismas deben ser objeto de proteccin. Slo se recurrir a las cmaras cuando la implementacin de otros medios de vigilancia ofrezca dificultades. Deber colocarse una etiqueta distintiva en un lugar visible, y los datos obtenidos debern borrarse al cabo de un mes. Este reglamento es de aplicacin a la grabacin, transmisin, conservacin y almacenamiento, incluyendo la reproduccin en tiempo

Manuales prcticos del proyecto CLI-PROMETEO 2008-2009 <http://www.madrid.org/cs/Satellite?c=PAPD_Generico_FA&cid=1253706444391&language=es&pagei d=1252308394307&pagename=PortalAPDCM%2FPAPD_Generico_FA%2FPAPD_fichaPublicacion&v est=1252308394307>. 602 Autoridad Catalana de Proteccin de Datos, Privacidad para jvenes <http://www.apdcat.net/es/contingut.php?cont_id=305&cat_id=250>; Datuak Babesteko Euskal Bulegoa - Agencia Vasca de Proteccin de Datos (Basque Data Protection Authority), Reda y Neto: Cuidando los datos personales <http://www.avpd.euskadi.net/s04-kontuzdt/es>; Agencia Espaola de Proteccin de Datos, Internet y datos personales <https://www.agpd.es/portalwebAGPD/jornadas/dia_internet_2010/index-ides-idphp.php>. 603 Ley Orgnica 4/1997, de 4 de agosto, por la que se regula la utilizacin de videocmaras por las fuerzas y cuerpos de seguridad en lugares pblicos, en <http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>. 604 Ley Orgnica 4/1997, de 4 de agosto, por la que se regula la utilizacin de videocmaras por las fuerzas y cuerpos de seguridad en lugares pblicos, en <http://noticias.juridicas.com/base_datos/Admin/lo4-1997.html>. 605 Ley 23/1992, de 30 de julio, de seguridad privada, en <http://noticias.juridicas.com/base_datos/Admin/l23-1992.html>. 606 Real Decreto-ley 2/1999, de 29 de enero, por el que se modifica la Ley 23/1992, de 30 de julio, de seguridad privada, en <http://noticias.juridicas.com/base_datos/Admin/rdl2-1999.html>. 607 Agencia Espaola de Proteccin De Dados, Instruccin 1/2006, de 8 de noviembre sobre el tratamiento de datos personales con fines de vigilancia a travs de sistemas de cmaras o videocmaras, 12 de diciembre de 2006, disponible en espaol en <http://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Instruccion_1_2006_videovigilan cia.pdf>, disponible en ingls en <https://www.agpd.es/upload/English_Resources/Instruccion%20videovigilancia%20EN.pdf>.
601
176
real y la emisin. Quedan excluidas las grabaciones para uso domstico y el uso de imgenes por los cuerpos de seguridad y la judicatura. La APDCM public la Instruccin 1/2007608 sobre el uso de vigilancia por videocmara con fines de seguridad, para controlar reas restringidas o el trfico, as como para fines sanitarios, de investigacin o cientficos. El responsable del tratamiento de los datos tiene que justificar que la vigilancia por videocmara es necesaria y comunicrselo a la APDCM para que evale la proporcionalidad. La agencia de proteccin de datos de Catalua tambin elabor una Instruccin sobre vigilancia por videocmara en 2009, segn la cual, el responsable del tratamiento est obligado a comunicar su sistema de vigilancia por videocmara a dicho organismo.609
Privacidad de localizacin (GPS, telfonos mviles, servicios basados en la localizacin, etc.)

El servicio Street View de Google empez a captar informacin en 2008 a travs de personas conectadas a sus redes wifi inalmbricas. Segn la AEPD, estos hechos podran constituir una violacin de la Ley Orgnica de Proteccin de Datos.610 El 16 de agosto de 2010, un juez inici una investigacin a partir de la denuncia de una asociacin de usuarios de Internet (AEPDANICA) segn la cual Google habra captado y almacenado ilegalmente datos de usuarios conectados a redes wifi al hacer fotografas para su servicio Street View.611

APDCM, Instruccin1/2007 de 16 mayo 2007 sobre el tratamiento de datos personales a travs de los sistemas de cmaras o videocmaras en el mbito de los rganos y administraciones pblicas de la Comunidad de Madrid. 609 El informe debe incluir el nmero de cmaras utilizadas, si se trata de cmaras fijas o mviles, si estn colocadas a menos de 50 metros de un hospital, iglesia o escuela, as como justificar la proporcionalidad de su uso. 610 AEPD, "La AEPD abre una investigacin a Google por la captacin de datos de redes wi-fi en Espaa", en <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/ 100519_NP_GOOGLE_WIFI_WEB.pdf>. 611 AFP, "Spanish Judge Probes Complaint over Google's Street View (Un juez espaol investiga una denuncia a Street View de Google)", 16 de agosto de 2010. Vase tambin, "Spanish DPA Opens Infringement Procedures for Google Streetview (La AEPD inicia un procedimiento por infraccin para Streetview de Google)", EDRi-gram Nmero 8.20, 20 octubre de 2010 <http://www.edri.org/edrigram/number8.20/spanish-dpa-streetview-infringement>; "Google Street View Faces Citizens' Reservation in EU (Street View de Google se enfrenta la reservas de los ciudadanos de la UE)", EDRi-gram Nmero 8.16, 25 agosto de 2010, <http://www.edri.org/edrigram/number8.16/google-streetview-rejected-germany-france-spain>; Fiona Govan, "Spain Takes on Google over Privacy Violations in Street View (Espaa se enfrenta a Google por violacin de privacidad de Street View)", The Telegraph, 17 de agosto de 2010 <http://www.telegraph.co.uk/technology/google/7950503/Spain-takes-on-Google-over-privacyviolations-in-Street-View.html>.
608
177
Privacidad en los viajes (documentacin de identidad de viajero, biometra, etc.) y vigilancia fronteriza
Desde agosto de 2006, todos los pasaportes expedidos en Espaa son electrnicos y contienen una etiqueta RFID.612 Los ciudadanos de los pases adheridos al Programa de Exencin de Visados (todos los pases pertenecientes al Espacio Econmico Europeo (Estados miembros de la UE + Noruega, Islandia y Liechtenstein), Suiza, Nueva Zelanda, Australia y Brunei) deben tener un pasaporte electrnico para viajar a los Estados Unidos, y todos deben cumplir los mismos requisitos tcnicos.613 En 2006, la Comisin de Libertades e Informtica (CLI) y otras asociaciones formularon objeciones a la adopcin de la tecnologa RFID en pasaportes y advirtieron de que en algunos pases se ha pirateado este tipo de pasaportes.614
Documento nacional de identidad y tarjetas inteligentes

El 11 de diciembre de 2003, el Parlamento promulg la Ley sobre la Firma Electrnica.615 La legislacin estableci un DNI electrnico que incluye un certificado utilizado para generar una firma electrnica.616 Estaba previsto que este nuevo DNI estuviera totalmente extendido en 2007, pero su implementacin todava est en curso. Permite la firma electrnica de documentos tanto a personas como a sociedades y tiene el mismo valor que una firma manuscrita. El gobierno pretende estimular el desarrollo del comercio electrnico y aumentar la confianza del consumidor en las transacciones a travs de Internet.617 El DNI electrnico incluye dos elementos: un chip con informacin relativa a la identidad y la firma electrnica del ciudadano, as como informacin biomtrica (huella dactilar y fotografa). Varias asociaciones de defensa de la privacidad han criticado esta ley porque en su opinin obligar a todo el mundo a tener el nuevo DNI y crear una enorme base de datos con informacin de los ciudadanos, que a su vez presentar serios riesgos en materia de seguridad. Han instado al Gobierno para que se revise el proyecto a fin de garantizar la mxima proteccin de la privacidad de los ciudadanos.618 A mediados de febrero de 2006, el Ministerio del Interior anunci que se haban generado las claves raz.619 El primer DNI electrnico se

Ministerio de Interior, Informacin sobre trmites / pasaporte / pasaporte electrnico <http://web.archive.org/web/20080614191030/http://www.mir.es/SGACAVT/pasaport/Pasaporte_electro nico.html>. 613 Programa de exencin de visados (Visa Waiver Program) (VWP) <http://travel.state.gov/visa/temp/without/without_1990.html>. 614 Asociacin de Internautas, "La CLI se opone a que se incrusten RFID en el futuro pasaporte electrnico y, posteriormente, en el DNI electrnico, 7 de marzo de 2006, <http://www.internautas.org/privacidad/html/3517.html>. Kriptoplis, Pasaporte hacia la inseguridad, 19 de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>. 615 Ley 59/2003, de 19 de diciembre, de firma electrnica <http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/23399>. 616 Para informacin general ver <http://www.dnielectronico.es>. 617 "La Ley de la firma electrnica entra en vigor," Redes and Telecoms, 12 de diciembre de 2003, en <http://www.redestelecom.com/Actualidad/Noticias/Comunicaciones/Legislaci%C3%B3n/20031212036 >. 618 "El DNI electrnico se tramitar en Espaa el prximo ao," El Pas, 5 de mayo de 2003. 619 Direccin General de la Polica y de la Guardia Civil, El Ministro del Interior pone en marcha el sistema de certificacin del nuevo DNI electrnico, 16 de febrero de 2006 <http://www.dnielectronico.es/oficina_prensa/noticias/noticia04.html>.
612
178
expidi el 16 de marzo de 2006,620 y tras un periodo de prueba, se empezaron a expedir de manera continuada.621 En marzo de 2010, el nmero de DNIs electrnicos haba aumentado hasta los nueve millones.622 No obstante, de acuerdo con el Instituto Nacional de Estadstica, en octubre de 2009 slo el 3,4 por ciento de la poblacin haba usado su DNI electrnico para firmar transacciones electrnicas.623 La Comisin de Libertades e Informtica (CLI) denunci la falta de debate con respecto a la introduccin prevista del DNI electrnico,624 y advirti que las medidas que se van a introducir podran contravenir derechos fundamentales, tales como los de privacidad y proteccin de datos personales.625 Asimismo subray que es importante adoptar medidas de seguridad adecuadas para la introduccin de este documento de identidad, ya que puede contener elementos que permitan acceder a informacin personal delicada del titular, como ocurre con la raza o confesin religiosa en el caso de las fotografas. La CLI ha advertido de la posibilidad de que se incluya informacin relativa al ADN, y que sera ilegal que el DNI electrnico contenga informacin mdica, as como convertirlo en un documento multiusos para acceder a los servicios sanitarios, como sugiri en febrero de 2004 la ex ministra de Administraciones Pblicas Julia Garca Valdecasas.626 Desde 2009, el gobierno espaol ha lanzado varias campaas informativas acerca del DNI electrnico, subrayando los beneficios para los ciudadanos.627 El 3 de noviembre de 2009, un Real Decreto modific algunos de los requisitos para obtener los certificados de firma electrnica para el DNI.628
Etiquetas RFID
En 2006, la CLI y otras asociaciones formularon objeciones a la adopcin de la tecnologa RFID en pasaportes y advirtieron que en algunos pases se ha pirateado este tipo de pasaportes.629

Direccin General de la Polica y de la Guardia Civil, El Ministro del Interior entrega el primer ejemplar del nuevo DNI electrnico a una ciudadana de Burgos, 16 de marzo de 2006 <http://www.dnielectronico.es/oficina_prensa/noticias/noticia09.html>. 621 Direccin General de Relaciones Informativas y Sociales, "Comienza la expedicin del nuevo DNI electrnico en trece ciudades espaolas, 5 Jlio 2006 <http://www.mir.es/DGRIS/Notas_Prensa/Policia/2006/np070504.html> (comprobado por ltima vez en 2007). 622 Asociacin de Internautas, "El Uso del DNI electrnico sigue siendo escaso a pesar de haber casi 15 millones de documentos nuevos expedidos", 29 de marzo de 2010 <http://www.internautas.org/html/6078.html>. 623 "Casi diez millones de Espaoles tienen DNI electrnico, pero pocos lo usan", Expansin.com, 13 de abril de 2009, en <http://www.expansion.com/2009/04/13/funcion-publica/1239603801.html>. 624 "El DNI Electrnico no puede incluir datos personales ajenos a la identificacin," IBLNEWS, 4 de octubre de 2004. 625 "La CLI advierte que el contenido del DNI electrnico no puede incluir datos de carcter personal," Asociacin de Internautas, 20 de mayo de 2005, en <http://www.internautas.org/html/1/2934.html>. 626 Comisin de Libertades e Informtica, nota de prensa, 19 de febrero de 2004. 627 <http://www.dnielectronico.es/>. 628 Real Decreto 1586/2009, disponible en espaol en <http://www.dnielectronico.es/marco_legal/RD_1586_2009.html>. 629 Asociacin de Internautas, "La CLI se opone a que se Incrusten RFID en el futuro pasaporte electrnico y, posteriormente, en el DNI electrnico, 7 de marzo de 2006 <http://www.internautas.org/privacidad/html/3517.html>. Kriptoplis, Pasaporte hacia la inseguridad, 19 de noviembre de 2006 <http://www.kriptopolis.org/pasaporte-hacia-la-inseguridad>.
620
179
Privacidad Fsica
No hay novedades en este apartado.
Privacidad en el Lugar de Trabajo

En julio y septiembre de 2007, el Tribunal Supremo resolvi dos casos sobre privacidad en el lugar de trabajo. En el primero, se pretenda determinar si un empleador poda controlar el horario laboral de sus empleados utilizando para ello sus huellas digitales, y el Tribunal consider que, en aquel caso, s poda. El segundo caso trataba sobre un empleador que utilizaba herramientas de supervisin del correo electrnico y de Internet en el lugar de trabajo. El Tribunal defini Internet y el correo electrnico como "una herramienta que el empleador proporciona a los empleados para facilitar su trabajo", y consider que los empleadores pueden usar herramientas de supervisin, pero slo si lo avisan previamente a sus empleados. El 7 de noviembre de 2005, el Tribunal Constitucional decidi que los sindicatos pueden enviar correos electrnicos a los trabajadores aunque stos no estn afiliados a dichos sindicatos, a fin de informarles de sus actividades. No obstante, los trabajadores pueden ejercer su derecho a cancelar u oponerse a tales correos. El empleador no est obligado a instalar un sistema de correo electrnico en su empresa. Sin embargo, si lo hace, deber facilitar su uso a los sindicatos, de modo que puedan informar a los empleados de la empresa de sus actividades.
Privacidad Sanitaria y Gentica

Privacidad sanitaria
La CLI, tras cuatro meses de trabajo con el Ministerio de Sanidad y Consumo, apoya la actual implementacin del proyecto de "Historia Clnica Digital del Sistema Nacional de Salud". Algunas provincias espaolas han implantado la historia clnica electrnica. El Departamento de Salud y las provincias estn trabajando en la implementacin de la receta electrnica.630 La Ley 14/2007 de 3 de julio de 2007 de Investigacin Biomdica631 regula muchos aspectos relacionados con la informacin gentica, como por ejemplo las condiciones para eliminar la informacin gentica para fines de investigacin biomdica. La Ley Orgnica 7/2006 de 21 de noviembre de 2006632 regula el dopaje: la informacin debe comunicarse a las autoridades internacionales en materia de dopaje.633 Si bien la Ley

"La Comunidad de Madrid pone en marcha la receta electrnica", estaraldia.es, 19 de febrero de 2007 <http://www.estaraldia.es/actualidad/4794-Comunidad_Madrid_pone_en_marcha_receta_electronica/>. 631 Ley 14/2007, de 3 de julio, de Investigacin biomdica, BOE n 159, de 4 de julio de 2007 <http://www.umh.es/_web_rw/ceie/docs/humanos/Ley%20de%20Investigacion%20Biomedica.pdf>. 632 Ley Orgnica 7/2006, de 21 de noviembre, de proteccin de la salud y de lucha contra el dopaje en el deporte. BOE n 279, de 22 de noviembre de 2006, en <http://www.csd.gob.es/csd/estaticos/depsalud/LDEP10EP.pdf>. 633 Ver artculos 34 a 36.
630
180
29/2006 del 26 de julio de 2006634 regula el uso razonable de medicamentos, algunas de sus disposiciones tratan exclusivamente sobre la proteccin de los datos personales de los pacientes. No es necesario el consentimiento del interesado para comunicar los datos personales necesarios en un sistema de informacin para la obtencin de recetas (en papel o electrnicas).
Privacidad gentica
La Ley 14/2007 del 3 de julio de 2007 de Investigacin Biomdica635 regula muchos aspectos relacionados con la informacin gentica, como por ejemplo las condiciones para eliminar la informacin gentica para fines de investigacin biomdica.
Privacidad Financiera
El 29 de junio de 2006, la AEDP abri una investigacin sobre el caso SWIFT.636 SWIFT, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (Society for Worldwide Interbank Financial Telecommunication), gestiona transferencias electrnicas para bancos a nivel mundial.637 La AEDP investigaba una comunicacin de Privacy International.638 SWIFT haba estado develando informacin financiera a las autoridades estadounidenses de manera encubierta. Privacy International denunciaba que dicha actividad estaba sujeta a la Ley de Proteccin de Datos espaola, y que SWIFT gestionaba ms de 45 millones de mensajes financieros para ms de 140 bancos e instituciones espaoles.639 La AEPD se uni posteriormente a otras agencias europeas de proteccin de datos para aprobar un dictamen sobre el caso SWIFT del Grupo de Trabajo del Artculo 29.640 El dictamen concluy que SWIFT y las instituciones financieras europeas no respetaron las disposiciones de la Directiva Europea de Proteccin de Datos 95/46/EC.641

Ley 29/2006, de 26 de julio, de garantas y uso racional de los medicamentos y productos sanitarios, BOE n 178 de 27 de julio de 2006, en <http://www.redtercel.com/ficheros/Ley%20del%20Medicamento.%202006..pdf>. 635 Ley 14/2007, de 3 de julio, de Investigacin Biomdica, vase supra 113. 636 AEDP, La Agencia Espaola de Proteccin de Datos investiga las implicaciones del "caso SWIFT" en Espaa, 29 de junio de 2006 <http://www.agpd.es/upload/Prensa/Nota%20%20informativa_03_07_06.pdf>. 637 Para una informacin ms general, vase <http://www.swift.com/>. 638 Simon Davies, Denuncia: Transmisin de datos personales de SWIFT al gobierno de los Estados Unidos (Complaint: Transfer of Personal Data from SWIFT to the US Government), 27 de junio de 2006, <http://www.privacyinternational.org/issues/terrorism/swift/spain.pdf>. 639 Id. 640 AEDP, Las autoridades europeas de proteccin de datos aprueban una opinin sobre el caso "SWIFT", 28 de diciembre de 2006 <https://www.agpd.es/upload/Prensa/OPINI%D3N%20Swift_28_11_2006.pdf>. 641 Grupo de Trabajo del Artculo 29, Dictamen 10/2006 sobre el procesamiento de datos personales por la Society for Worldwide Interbank Financial Telecommunication (SWIFT), 22 de noviembre de 2006 <http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp128_en.pdf>.
634
181
Administracin Electrnica y Privacidad

La Ley 11/2007 de 22 de junio de 2007 sobre servicios de administracin electrnica642 regula la posibilidad de que los ciudadanos no tengan que proporcionar sus datos personales o documentacin ms que en formato electrnico. La ley establece que tanto en la administracin nacional, como en las provinciales y municipales, todos los procedimientos administrativos estn implantados como servicios electrnicos antes del 31 de diciembre de 2009. La Ley 11/2007 se desarrolla en tres reales decretos: el Real Decreto 1671/2009 de 6 de noviembre de 2009,643 el Real Decreto 3/2000 de 8 de enero de 2010 por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica,644 y el Real Decreto 4/2010 de 8 de enero de 2010, sobre el Esquema Nacional de Interoperabilidad de los Servicios Electrnicos.645 La APDCM public la Recomendacin 3/2008 acerca del uso de servicios electrnicos por parte de instituciones pblicas de la Comunidad de Madrid646 (contenido de polticas de privacidad, uso de la intranet, etc.).
Gobierno Abierto
La Ley 37/2007 de 16 de noviembre de 2007 sobre la Reutilizacin de la Informacin del Sector Pblico647 regula la posibilidad de reutilizar la informacin pblica pero sin los datos personales.
Otros Avances Recientes

En mayo de 2008, un documental emitido en Tele5 revel que muchos de los expedientes judiciales que las personas confan a las autoridades judiciales espaolas y que contienen informacin personal delicada (perfiles psicolgicos, informacin financiera, laboral, mdica y penal) no se archivan, transmiten ni se destruyen de acuerdo con la LOPD. La AEPD declar que el sistema judicial carece de un conjunto uniforme de medidas de seguridad y que se trata de un problema extendido en las

Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, BOE n 150 de 23 de junio de 2007, en <http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf>. 643 Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos, en <http://noticias.juridicas.com/base_datos/Admin/rd1671-2009.html>. 644 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin electrnica, en <http://noticias.juridicas.com/base_datos/Admin/rd32010.html>. 645 Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin electrnica, BOE n 25 de 29 enero de 2010, en <http://noticias.juridicas.com/base_datos/Admin/rd4-2010.html>. 646 Recomendacin 3/2008, de 30 de abril, de la Agencia de Proteccin de Datos de la Comunidad de Madrid, sobre tratamiento de datos de carcter personal en servicios de administracin electrnica (BO. Comunidad de Madrid 11 septiembre 2008, nm. 217, [pg. 4]), en <http://www.madrid.org/cs/Satellite?c=CM_Orden_BOCM&cid=1142490056672&idBoletin=11424897 93849&idSeccion=1142489793866&language=es&pagename=Boletin%2FComunes%2FPresentacion%2 FBOCM_popUpOrden>. 647 Ley 37/2007, de 16 de noviembre, sobre reutilizacin de la informacin del sector pblico, en <http://noticias.juridicas.com/base_datos/Admin/l37-2007.html>.
642
182
distintas jurisdicciones espaolas. Uno de los problemas que este escndalo ha sacado a la luz es la imposibilidad de la AEPD de imponer sancin alguna contra la administracin estatal y sus empleados, siendo su nica opcin la de declarar que existe un incumplimiento de la LOPD.648
III. Labor de defensa de la privacidad de las organizaciones no gubernamentales

No hay novedades en este apartado.
IV. Obligaciones internacionales y cooperacin internacional

Espaa ratific la Declaracin Universal de los Derechos Humanos de 1948649 y el 25 de abril de 1977 ratific el Pacto Internacional sobre Derechos Civiles y Polticos.650 Espaa es miembro del Consejo de Europa (CoE, en ingls) y ha firmado y ratificado el Convenio para la Proteccin de las Personas con respecto al tratamiento automatizado de datos de carcter personal (Convenio nmero 108).651 Ha firmado y ratificado el Convenio para la Proteccin de los Derechos Humanos y de las Libertades Fundamentales.652 En noviembre de 2001, Espaa firm el Convenio CoE sobre Ciberdelincuencia,653 y el 3 de junio de 2010 lo ratific. Es miembro de la Organizacin para la Cooperacin y Desarrollo Econmicos (OCDE) y ha adoptado las directrices de dicho organismo para la Proteccin de la Privacidad y Flujos Transfronterizos de Datos Personales. Tambin es miembro de la Red Iberoamericana de Proteccin de Datos.654

Mnica C. Belaza, "La indiscreta basura judicial. El hallazgo de papeles de juzgados en la calle confirma que la Ley de Proteccin de Datos no se cumple. La Administracin no puede ser sancionada", El Pas.com, 31 de mayo de 2008, en <http://www.elpais.com/articulo/sociedad/indiscreta/basura/judicial/elpepusoc/20080531elpepisoc_10/Te s>; Auditta, "Abren una investigacin tras aparecer expedientes judiciales en la basura" <http://www.proteccion-datos.net/abren-una-investigaciOn-tras-aparecer-expedientes-judiciales-en-labasura.php>. 649 En <http://www.un.org/Overview/rights.html>. 650 Pacto Internacional sobre Derechos Civiles y Polticos, 16 de diciembre de1966, en <http://www2.ohchr.org/english/bodies/ratification/4.htm>. 651 Firmado el 28 de enero de 1982; ratificado el 31de abril de 1984; entr en vigor el 1 de octubre de 1985. 652 Firmado el 24 de noviembre de 1977; ratificado el 4 de octubre de 1979; entr en vigor el 4 de octubre de 1979. 653 Firmado el 23 de noviembre de 2001. 654 Red Iberoamericana de Proteccin de Datos. Para una informacin ms general, vase <https://www.agpd.es/portalweb/internacional/red_iberoamericana/index-ides-idphp.php>.
648
183
184
Reconocimientos
Privacy International, el Electronic Privacy Information Center (EPIC) y el Center for Media and Communications Studies (CMCS), se complacen en presentar la investigacin "Privacidad y Derechos Humanos en Europa" (EPHR) 2010," financiado por el Programa Especial "Derechos Fundamentales y Ciudadana" (2007-2013). EPHR investig el panorama europeo de las leyes y regulaciones nacionales de privacidad y proteccin de datos as como cualquier otra ley o recientes eventos fcticos con impacto en la privacidad. El mbito de la investigacin engloba especficamente las jurisdicciones de los 27 Estados Miembros de la Unin Europea, dos pases de la Asociacin Europea de Libre Comercio (Noruega y Suiza) y tres pases candidatos para formar parte de la Unin Europea (Croacia, Macedonia, y Turqua). La Unin Europea como jurisdiccin tambin est siendo tomada en cuenta. La investigacin consiste de 33 informes especficos, un vistazo general que presente un anlisis poltico y legal de los principales tpicos sobre privacidad, y una valoracin de privacidad para todos los pases investigados. Dependiendo del informe seleccionado, la informacin proporcionada est actualizada al periodo Mayo-Octubre de 2010. Para obtener informacin para el EPHR, se les solicit presentar informes e informacin relevante a personas conocedoras provenientes del mundo acadmico, instituciones pblicas, firmas de abogados, grupos de derechos humanos, y de otros campos. Su informacin fue complementada con investigacin adicional realizada por el equipo de investigacin del EPHR. El anlisis de los informes nacionales y las valoraciones para cada pas son el resultado del trabajo del equipo del EPHR. El EPHR se erigi sobre el legado de la publicacin de EPIC y Privacy International titulada "Privacy & Human Rights: An International Survey of Privacy Laws and Developments," ("Privacidad y Derechos Humanos: Una Investigacin Internacional sobre Leyes y Eventos vinculados a la Privacidad"), el cual es la referencia ms seria entre aquellas de investigaciones globales y comparativas sobre regulaciones y eventos sobre privacidad alrededor del mundo. Por tanto, deseamos agradecer a los siguientes colaboradores de los informes nacionales:
Expertos Nacionales que Tomaron Parte en el EPHR 2010 al Actualizar los Informes Nacionales y Proporcionar Informacin Adicional
Alemania
Werner Hlsmann, Deutsche Vereinigung fr Datenschutz & FIfF, Germany, Kristina Irion, CEU CMCS.
Repblica de Austria
Stefan Mayr, Johannes Kepler University of Linz, Austria.
185
Reino de Blgica
Fanny Coudert, Brendan Van Alsenoy, Danny De Cock, Els Kindt and Jos Dumortier, Interdisciplinary Centre for Law and ICT (ICRI) K.U. Leuven, Belgium; Alexandre Dulaunoy, Association Electronique Libre, Belgium; Nichole Rustin-Paschal, Electronic Privacy Information Center, USA, and Cdric Laurant, Center for Media and Communication Studies, Central European University, Hungary.
Repblica de Bulgaria
Alexander Kashumov, Fani Davidova and Gergana Jouleva, Access to Information Programme, Bulgaria; Plamen M. Borissov, Borissov & Partners, Bulgaria.
Repblica de Croacia
Ivan Gjurgjan, Gjurgjan & ribar Radic, Croatia; Jan Klasinc, Institute for Public Administration - iDEMO (Institute for Democracy), Croatia.
Repblica de Chipre
Nicholas Ktenas and Chrystalla Neophytou, Neocleous & Co LLC, Cyprus.
Repblica Checa
Richard Otevel, Havel & Holsek, Czech Republic.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights, Denmark; Michael Hopp, Plesner Law Firm, Denmark.
Repblica Eslovaca
Marian Lauko and Michal Marhefka, Weinhold Legal, Slovak Republic.
Repblica de Eslovenia
Matej Kovai, University of Ljubljana, Slovenia; Andrej Tomsic, Office of the Information Commissioner, Slovenia.
Reino de Espaa
Antoni Farriols Sola, Comisin de Libertades e Informtica, Spain; Ferran Adell, Universitat Autnoma de Barcelona, Spain; Javier Sempere, Agencia de Proteccin de Datos de la Comunidad de Madrid, Spain.
Repblica de Estonia
Kaupo Lepasepp y Mihkel Miidla, Sorainen AS, Estonia; Viive Nslund, Lepik & Luhar Lawin, Estonia.
Repblica de Finlandia
Ilona Terkivi, LMR Attorneys Ltd, Finland; Eija Warma, Castrn & Snellman Ltd, Estonia.
Repblica de Francia
Pascale Gelly y Caroline Doulcet, Cabinet Gelly, France.
186
Grecia
Vagelis Papakonstantinou, PKpartners, Greece; Elena Spiropoulou, Spiropoulou Law Firm, Greece.
Repblica de Hungra
Ivan Szekely, Open Society Archives at Central European University, Hungary; Mt SzaB, Office of the Commissioner for Educational Rights at Ministry of Education, Hungary; Endre Gyz Szab, Department of Judicial Cooperation and Private International Law of the Ministry of Public Administration and Justice, Hungary.
Repblica de Irlanda
Rossa McMahon, Patrick G. McMahon Solicitors, Ireland; Thomas McIntyre, University College Dublin, Ireland.
Repblica de Italia
Marco Calamari, Progetto Winston Smith, Italy; Michele Iaselli, Associazione Nazionale per la Difesa della Privacy, Italy; Ugo Pagallo, Universit degli Studi di Torino, Italy; Guido Scorza, Instituto per le Politiche dell'Innovazione, Italy.
Repblica de Letonia
Raivo Raudzeps, Sorainen, Latvia; Arturs Kucs, Department of International and European Law, University of Latvia, Latvia.
Repblica de Lituania
Henrikas Mickeviius, Human Rights Monitoring Institute, Lithuania; Mindaugas Kiskis, Mykolas Romeris University, Lithuania; Paulius Galubickas, Sorainen, Lithuania.
Luxemburgo
Olivier Reisch, Linklaters, Belgium; Jan Dhont and Thomas Daenens, Lorenz, Belgium.
Macedonia
Bardhyl Jashari, Filip Stojanovski, Vesna Paunkovska, Nade Naumovska, Elena Stojanovska and Zoran Gligorov, Metamorphosis Foundation, Macedonia.
Malta
Ian Gauci, Gatt Tufigno Gauci Advocates, Malta; Andrew J. Zammit, Zammit & Associates, Malta; Jackie Scerri, Zammit & Associates, Malta.
Reino de Noruega
Christine Hafskjold, The Norwegian Board of Technology, Norway; Lee A. Bygrave, Tobias Mahler and Thomas Olsen, Norwegian Research Center for Computers and Law, University of Oslo, Norway.
Pases Bajos
eLaw@Leiden, Center for Law in the Information Society, Leiden University, The Netherlands; Wolter Pieters, Faculty of Electrical Engineering, Mathematics and
187
Computer Science, University of Twente, The Netherlands; David Riphagen, The Netherlands.
Polonia
Andrzej Adamski and Arkadiusz Lach, Nicolas Copernicus University, Poland; Arwid Mednis Wierzbowski & Wspolnicy, Poland; Katarzyna Szymielewicz, Panoptykon Foundation, Poland.
Repblica de Portugal
Joo Lus Traa, Miranda Correia Amendoeira & Associados, Portugal.
Rumania
Ioana Avadani, Centrul pentru Jurnalism Independent, Romania; Bogdan Manolea, Association for Technology and Internet - APTI, Romania.
Reino de Suecia
Ola Svenonius, Sdertrn University, Sweden.
Suiza
Christian Thommen, Grundrechte.ch, Switzerland; Christoph Mueller, University of Zurich, Switzerland; Heinrich Busch, Switzerland.
Reino Unido
Anna Mazzola, Hickman & Rose, United Kingdom; Daniel Cooper, Mark Young, Shamma Iqbal and Philip Christofides, Covington & Burling, United Kingdom; Ross Anderson, Computer Laboratory, Cambridge University, United Kingdom.
Repblica de Turqua
Emre Berk, Bener Law Office, Turkey.
Unin Europea
Gloria Gonzlez Fuster, Law, Science, Technology & Society (LSTS) at Vrije Universiteit Brussel, Belgium; Maria Grazia Porcedda, European University Institute, Italy; Matteo E. Bonfanti, Center for Media and Communication Studies, Central European University, Hungary.
Expertos Nacionales que Fueron Parte de Anteriores Ediciones de "Privacy & Human Rights: an International Survey of Privacy Laws and Developments" ("Privacidad y Derechos Humanos: Una Investigacin Internacional sobre Leyes y Eventos vinculados a la Privacidad")
(Pases Pertinentes para la Investigacin EPHR)
188
Alemania
Ralf Bendrath, Universitt Bremen; Herbert Burkert, GMD; Ulrich Dammann, Bundesbeauftragte fr den Datenschutz; Alexander Dix, Commissioner for Data Protection and Access to Information (Brandenburg); Helmut Heil, Bundesbeauftragte fr den Datenschutz; Gerrit Hornung, Projektgruppe verfassungsvertrgliche Technikgestaltung, University of Kassel; Kristina Irion, Electronic Privacy Information Center; Detlef Nogala, Max-Planck-Institut; Fereniki Panagopoulou, Humboldt University; Jan Schallabck, Unabhaengiges Landeszentrum fuer Datenschutz Schleswig-Holstein (ULD), Independent Centre for Privacy Protection SchleswigHolstein (ICPP); Christian Schrder, Freshfields Bruckhaus Deringer; Christoph Sobotta, University of Frankfurt.
Repblica de Austria
Axel Horns, FITUG e.V. (Frderverein Informationstechnik und Gesellschaft); Albert Koellner, Andreas Krisch, Peter Kuhm, VIBE!AT (Verein fr Internet-Benutzer sterreichs); Dieter Kronegger, Arge Daten; Georg Lechner, sterreichische Datenschutzkommission; Erich Moechel, Quintessenz; Astrid Paiser, Freshfields Bruckhaus Deringer; Bettina Stomper, Quintessenz.
Reino de Blgica
Jacques Berleur, Facults Universitaires Notre-Dame de la Paix; Alexandre Dulaunoy, Association Electronique Libre; Jos Dumortier, Interdisciplinary Centre for Law & ICT (ICRI), Katholieke Universiteit Leuven; Bndicte Havelange, Anne-Christine Lacoste, An Machtens and Hugues Parasie, Commission de la protection de la vie prive/ Commissie voor de Bescherming van de persoonlijke levenssfeer; Pierre-Emmanuel Laurant, Elsewhere Entertainment; Yves Poullet and Karen Rosier, Centre de Recherches Informatique et Droit.
Repblica de Bulgaria
Fany Davidova, Marina Karakonova and Alexander Kashumov, Access to Information Programme; Veni Markovski and Dragoslava Pefeva, Internet Society Bulgaria; Nelly Ognyanova, Bulgarian Institute for Legal Development.
Repblica de Chipre
Michalis Kitromilides, Office of the Personal Data Protection Commissioner.
Repblica Checa
Pavel Cerny, Environmental Law Service (EPS); Karel Neuwirt, Ivan Prochzka and Hana Stepankova, Office for Personal Data Protection; Helena Svatosova, Iuridicum Remedium; Ondrej Veis, Charles University.
Reino de Dinamarca
Christoffer Badse, Danish Institute for Human Rights; Mads Bryde Andersen, University of Copenhagen; Kira Kolby Christensen and Charlotte Edholm Petersen, Datatilsynet; Bo Elkjaer; Tina Fugl, Danish Data Protection Agency; Rikke Frank Joergensen and Per Helge Srensen, Digital Rights Denmark.
189
Repblica de Eslovaquia
Zuzana Babicov and Daniel Valentovic, Office for Personal Data Protection; Andrej D. Bartosiewicz, Association for Support of Local Democracy; Pavol Husar, Commissioner for the Protection of Personal Data in Information Systems; Natalia Krajcovicova, Inspection Unit for the Protection of Personal Data; Vladimir Pirosik, Environmental Lobbying Facility; Peter Wilfling, Citizen and Democracy Association.
Repblica de Eslovenia
Joze Bogataj, Data Protection Inspectorate; Sonja Bien Karlovek and Andrej Tomi, Information Commissioner; Matej Kovacic and Vasja Vehovar, University of Ljubljana.
Reino de Espaa
Rafael Fernndez Calvo, Commission for Liberties and Informatics; David Casacuberta, Computer Professionals for Social Responsibility-Spain (CPSR-Spain); Pedro Dubie, AEDIP; Emilio Aced Flez, Agencia de Proteccin de Datos; Miguel Angel Garcia, MAG (Estudios de Consumo); Eva Sanchez Guerrero, Open University of Catalonia; Beatriz Iglesias, Computer Professionals for Social Responsibility-Per(CPSR-Per); Yasha Maccanico, Statewatch; Piar-Maas and Mercedes Ortuo, Agencia Espaola de Proteccin de Datos; Arturo Quirantes, University of Granada and Computer Professionals for Social Responsibility-Spain.
Repblica de Estonia
Triinu Jaaksoo and Maarja Kirss, Data Protection Inspectorate; Kaidi Oone, Estonian State Chancellery, Department of State Information Systems; Toivo bi, Andmekaitse Inspektsioon.
Repblica de Finlandia
Reijo Aarnio and Maija Kleemola, Office of Data Protection Ombudsman; Joel Jaakkola; Jorma Kuopus, Office of the Parliamentary Ombudsman; Ville Oksanen and Mikko Valimaki, Electronic Frontier Finland.
Repblica de Francia
Anne Carblanc, Organization for Economic Cooperation and Development; Maria Farrell, International Chamber of Commerce; Marie Georges, Commission Nationale Informatique et Liberts (CNIL); Jean-Marc Manach, Journalist; Meryem Marzouki, Imaginons un Rseau Internet Solidaire; Jrme Thorel, Advisory Board, Privacy International.
Grecia
Panageas Christos, City College; Amalia Logiaki, Greek Data Protection Authority; Nikolaos K. Papadopoulos, Technological Educational Institute of Serres; Vagelis Papakonstantinou, PK Partners.
Repblica de Hungra
Zsolt Gyrgy Balogh, University of Pcs; Bela Csiszer, Budapest University of Technology and Economics; dm Fldes, Hungarian Civil Liberties Union; Gabor Freidler and Nra Horvth, Office of the Parliamentary Commissioner for Data Protection and Freedom of Information; Zoltan Galantai, Budapest University of
190
Technology and Economics; Lszl Majtnyi, Hungarian Information and Privacy Commissioner; Attila Pterfalvi, Commissioner for Data Protection and Freedom of Information; Mt Dniel Szab, Etvs Kroly Policy Institute; Ivn Szkely, OSA Archivum and Budapest University of Technology and Economics.
Repblica de Irlanda
Ronnie Downes, Irish Data Protection Agency; Aileen Harrington and Joe Meade, Office of the Data Protection Commissioner; TJ McIntyre, University College Dublin, Digital Rights Ireland; Mchel O Dowd; Antoin O'Lachtnain, Digital Rights Ireland; Elizabeth Jane Walsh, University College Cork.
Repblica de Italia
Marco Calamari, Progetto Winston Smith; Andrea Glorioso; Alessandro Monteleone; Andrea Monti, Studio Legale Monti.
Repblica de Letonia
Linda Austere, Center for Public Policy "PROVIDUS"; Aiga Balode, Data State Inspection; Anita Kovalevska, Latvian National Human Rights Office; Signe Plumina, State Data Inspection.
Repblica de Lituania
Ona Jakstaite, Barbara Jurgeleviciene, Neringa Kaktaviit and Vaida Linartaite, State Data Protection Inspectorate; Mindaugas Kiskis, Law University of Lithuania; Asta Radvilaite and Jolanta Samuolyte, Human Rights Monitoring Institute; Simonas Toliu, Law University of Lithuania; Laura Sukelyte, EU Phare Programme Twinning Project on Personal Data Protection.
Macedonia
Dance Danailovska, Open Society Institute; Bardhyl Jashari and Filip Stojanovski, Foundation Metamorphosis; Neda Korunovska, Foundation Open Society Institute; Marijana Marushic, Zoran Pandev, Vesna Paunkoska and Biljana Volceska, Directorate for Personal Data Protection.
Malta
Ian Deguara, Data Protection Commissioner's Office.
Reino de Noruega
Lee Bygrave, Institutt for rettsinformatikk (Norwegian Research Centre for Computers and Law) and Faculty of Law, University of Oslo; Gunnel Helmers, Data Inspectorate of Norway.
Pases Bajos
S. Artz and Diana Alonso Blas and Anne-Marije Fontein, College Bescherming Persoonsgegevens; Jan Holvast, Holvast & Partners; Sjoera Nas, Bits of Freedom; Maurice Wessling, Bits of Freedom and European Digital Rights.
191
Polonia
Andrzej Adamski, Nicolas Copernicus University; Sybilla Graczyk, Association of Polish Consumers; Igor Kowalewski, Dorota Rowicka, Justyna Seweryoska and Alina Szymczak, The Bureau of the Inspector General for Personal Data Protection; Ewa Kulesza, Inspector General for Personal Data Protection; Arwid Mednis, partner Wierzbowski Eversheds.
Repblica de Portugal
Clara Guerra, National Data Protection Commission; Joo Miguel Neves.
Reino Unido
Yaman Akdeniz, (previously from) University of Leeds; David Banisar, Article 19; Ian Brown, Oxford Internet Institute; David Clancy, Information Commissioner's Office; Maurice Frankel, Campaign for Freedom of Information; Alex Hamilton, Liberty; Eduardo Ustarn, Berwin Leighton Paisner.
Rumania
Virgil Cristian Cristea, Institution of the Romanian People's Advocate; Valeriu Guguianu, Ministry of Public Information; Bogdan Manolea, Association for Technology and Internet (APTI); Ioan Muraru, Avocatul Poporului.
Reino de Suecia
Alberto Escudero-Pascual, Royal Institute of Technology; Elisabeth Wallin, The Data Inspection Board.
Suiza
Heiner Busch; Christoph Mueller, University of Zurich; Felix Rauch, Swiss Internet User Group; Dag Wiese Schartum, Eliane Schmid, Federal Data Protection Commissioners Office; Kosmas Tsiraktsopulos, Swiss Data Protection Commission.
Repblica de Turqua
Nilgn Basalp and Nurcan Kaya, Istanbul Bilgi University.
Unin Europea
Kristina Irion, Center for Media and Communication Studies, Central European University.
Equipo de Privacidad y Derechos en Europa

Privacy International, Londres (Reino Unido)
Simon Davies, Director Gus Hosein, Deputy Director Alexander Hanff, Communications Project Leader Eric King
192
George Morgan Wendy M. Grossman
Center for Media and Communication Studies, Central European University, Budapest (Hungra)
Kristina Irion, Research Director Matteo E. Bonfanti, Research Fellow Cdric Laurant, Senior Research Fellow Sarah Pipes, summer intern
Electronic Privacy Information Center, Washington D.C.

Marc Rotenberg, Executive Director and President
193
194
Anexo: Fuentes sobre privacidad

NOTICIAS SOBRE PRIVACIDAD
Noticias e Informes sobre Privacidad
BNA Privacy & Security Law Report: http://www.bna.com/products/corplaw/pvln.htm. BNA Privacy Law Watch: http://www.bna.com/products/ip/pwdm.htm. Privacy Law & Business: http://www.privacylaws.com. EDRI-Gram: http://www.edri.org/edrigram. Privacy and Information Security Blog Law (Hunton & Williams). This blog will help you to find the primary source of the news. http://www.huntonprivacyblog.com/. Baker McKenzie, Privacy Law Resources: http://www.bmck.com/ecommerce/homeprivacy.htm. Baker McKenzie, Security Law Resources: http://www.bmck.com/ecommerce/homesecurity.htm Privacy Exchange: http://www.privacyexchange.org/ Panopticon: http://www.panopticonblog.com/2011/01/05/scottish-governmentissuedprivacy-guidance/
Peridicos Informativos
BNA newsletter: http://ecommercecenter.bna.com; Baker & McKenzie newsletter: http://www.bmck.com/elaw/register.asp; EDRi newsletter (mostly covers European countries): http://www.edri.org/ EDPS Newsletter: http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/Newsletters
FUENTES INSTITUCIONALES
Comisionados Europeos de Privacidad
Alemania http://www.bfdi.bund.de/cln_136/Vorschaltseite_DE_node.html Antigua Yugoslavia Repblica de Macedonia e-mail: info@dzlp.gov.mk
195
Austria
Bro der Datenschutzkommission und des Datenschutzrates: http://www.dsk.gv.at
Autoridades de Proteccin de Datos de Europa Central y Oriental

http://www.ceecprivacy.org
Blgica
Commission de la Protection de la vie prive: http://www.privacy.fgov.be/
Bulgaria
Commission for Personal Data Protection: http://www.cpdp.bg
Chipre http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/index_gr/index_gr? OpenDocument Croacia http://www.azop.hr/default.asp Dinamarca http://www.datatilsynet.dk/ Eslovenia http://www.ip-rs.si/ Espaa https://www.agpd.es/portalwebAGPD/index-ides-idphp.php Estonia http://www.aki.ee/est/ Finlandia http://www.tietosuoja.fi/ Francia http://www.cnil.fr/ Grecia http://www.dpa.gr/home_eng.htm Hungra http://abiweb.obh.hu/abi/ Irlanda http://www.dataprivacy.ie/
196
Islandia http://www.personuvernd.is/ Italia http://www.garanteprivacy.it/garante/navig/jsp/index.jsp Letonia http://www.dvi.gov.lv/ Liechtenstein http://www.dss.llv.li/ Lituania http://www.ada.lt/ Luxemburgo http://www.cnpd.public.lu/fr/index.html Malta http://www.dataprotection.gov.mt/ Noruega http://www.datatilsynet.no/ Pases Bajos http://www.dutchdpa.nl/ Polonia http://www.giodo.gov.pl/168/j/pl/ Portugal http://www.cnpd.pt/index.asp Repblica Checa http://www.uoou.cz/uoou.aspx Repblica de Eslovaquia http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92 Rumania http://www.dataprotection.ro/ Suecia http://www.datainspektionen.se/
197
Suiza http://www.edoeb.admin.ch/ Reino Unido http://www.ico.gov.uk/
Organizaciones Intergubernamentales y de Cooperacin Internacional

Unin Europea Comisin Europea, Direccin General de Justicia, Proteccin de Datos http://ec.europa.eu/justice/data-protection/index_es.htm Supervisor Europeo de Proteccin de Datos http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=es Grupo de Trabajo del Artculo 29 sobre Proteccin de Datos http://ec.europa.eu/justice/data-protection/article-29/index_en.htm Agencia Europea de Seguridad de las Redes y de la Informacin http://www.enisa.europa.eu/ Agencia de Derechos Fundamentales de la Unin Europea, Artculo 7 y 8 http://infoportal.fra.europa.eu/InfoPortal/infobaseShowContent.do?btnCat_202&btnCou ntryBread_169 Consejo de Europa Proteccin de Datos: http://www.coe.int/dataprotection OCDE Tecnologas de la Informacin y de las Comunicaciones (general) http://www.oecd.org/topic/0,3373,en_2649_37441_1_1_1_1_37441,00.html Guas de la OCDE sobre Proteccin de la Privacidad y de Flujos Transfronterizos de Datos Personales http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html Directrices para la Seguridad de Sistemas y Redes de Informacin http://www.oecd.org/document/42/0,2340,en_2649_34255_15582250_1_1_1_1,00.html APEC Electronic Commerce Steering Group http://www.apec.org/Groups/Committee-on-Trade-and-Investment/ElectronicCommerce-Steering-Group.aspx Naciones Unidas Principios Rectores Sobre la Reglamentacin de los Ficheros Computarizados de Datos Personales, Adoptada por la Asamblea General Resolucin 45/95 del 14
198
Diciembre de 1990 http://www.unhcr.org/refworld/publisher,UNGA,THEMGUIDE,,3ddcafaac,0.html Comit de Derechos Humanos http://www2.ohchr.org/english/bodies/hrc/index.htm Comit de Derechos Humanos, Comentario General n. 16 http://www.unhchr.ch/tbs/doc.nsf/(Symbol)/23378a8724595410c12563ed004aeecd?Op endocument UNCTAD, Serie de Informes de Informacin Econmica http://www.unctad.org/templates/Page.asp?intItemID=3594&lang=1 Organizacin Mundial del Comercio http://www.wto.org/english/tratop_e/serv_e/gatsqa_e.htm http://www.wto.org/english/tratop_e/serv_e/_derived/sourcecontrol_gats_factfiction10 _e.htm Cmara de Comercio Internacional E-Negocios, TI y Telecomunicaciones http://www.iccwbo.org/policy/ebitt/ Grupo de Trabajo Internacional sobre Proteccin de Datos en Telecomunicaciones http://www.datenschutz-berlin.de/content/europa-international/international-workinggroup-on-data-protection-in-telecommunications-iwgdpt
Organizaciones No Gubernamentales
EPIC: http://epic.org/ Virtual Privacy Office: http://www.datenschutz.de/ Association for Progressive Communications' European Civil Society Internet Rights Project: http://europe.rights.apc.org/
Informes de Derechos Humanos

Human Rights Watch, Informe Mundial Annual: http://www.hrw.org/en/publications/reports Amnesty International Informe Anual: http://www.amnesty.org/ Departamento del Estado de los Estados Unidos de Amrica, Informes Nacionales sobre Derechos Humanos, seccin (f) sobre Interferencia Arbitraria de la Privacidad, la Familia, el Hogar, o la Correspondencia: http://www.state.gov/g/drl/rls/hrrpt/index.htm
Fuentes de privacidad adicionales de pases especficos
199
Alemania Virtual Privacy Office (online portal) http://www.datenschutz.de/privo/ Chaos Computer Club http://ccc.de/ (in German) Forum InformatikerInnen fr Frieden und gesellschaftliche Verantwortung e.V. (Forum for Peace and Social Responsibility), http://www.fiff.de/ FoeBuD http://www.foebud.org/ Friends of Information Technology and Society http://www.fitug.de/ Independent Centre for Privacy Protection (in German) http://www.datenschutzzentrum.de Austria Austrian Association for Internet Users (NGO) http://www.vibe.at Austrian Society for Privacy and Data Protection (NGO) http://www2.argedaten.at/php/cms_monitor.php?q=AD-NEWS-LAST Quintessenz http://www.quintessenz.org/ Arge Daten http://www.argedaten.at/php/cms_monitor.php?q=PUBTEXTARGEDATEN&s=15048tpb Blgica Droit-Technologie (online portal of legal information: news, legislation, case law, law review articles and theses) http://www.droit-technologie.org/ Research Center for Computer and Law (Centre de Recherche Informatique et Droit) http://www.fundp.ac.be/droit/crid/ The Interdisciplinary Centre for Law and ICT (ICRI) K.U.Leuven http://www.icri.be Net Users' Rights Protection Association
200
http://www.nurpa.be/ Bulgaria Access to Information Programme (NGO) http://www.aip-bg.org/index_eng.htm Internet Rights Bulgaria Foundation (NGO) http://www.irbf.ngo-bg.org/en Internet Society Bulgaria http://www.isoc.bg/index_en.html Croacia CEEC: Data Protection in the Republic of Croatia http://www.ceecprivacy.org/main.php?s=2&k=croatia Dinamarca Privacy Forum, arising from Danish Industry's Privacy Task Force http://www.privacyforum.dk/ Digital Rights http://www.digitalrights.dk/ IT-Political Association http://www.itpol.dk/ Eslovaquia CEEC: Data Protection in the Slovak Republic http://www.ceecprivacy.org/main.php?s=2&k=slovakia Eslovenia Slovenian Human Rights Ombudsman http://www.varuh-rs.si/cgi/teksti-eng.cgi/Index?vsebina=/cgi/teksti-eng.cgi%3Fpozdrav Espaa Revista Datos Personales http://www.datospersonales.org
201
Estonia Estonian Informatics Centre http://www.ria.ee/atp/eng/index.html?id=712 Estonian National ID Cards http://support.sk.ee/ CEEC: Data Protection in the Republic of Estonia http://www.ceecprivacy.org/main.php?s=2&k=estonia Finlandia Protection of Privacy in Working Life, Ministry of Labour (Jan 2010) http://www.mol.fi/mol/en/03_labourlegislation/03_privacy/index.jsp Electronic Frontier Finland (NGO) http://www.effi.org/index.en.html?tmplang=en FINLEX (English translations of Finnish acts) http://www.finlex.fi/en/ Francia Juriscom.net (online portal of legal news) http://www.juriscom.net Legalis.net (online portal of legal news) http://www.legalis.net/ Droit-Tic http://www.droit-ntic.com/ IRIS (NGO) http://www.iris.sgdg.org/ Grecia The Hellenic Authority for Communication Security and Privacy (ADAE) http://www.adae.gr/portal/index.php?id=1&L=1 Hungra Hungarian Civil Liberties Union (NGO)
202
http://tasz.hu/ Etvs Kroly Policy Institute http://www.ekint.org/ekint/ekint_angol.head.page?nodeid=27 Parliamentary Commissioner's Office of Hungary http://www.obh.hu/ CEEC: Report on Data Protection Commissioner Hungary http://www.ceecprivacy.org/main.php?s=2&k=hungary Irlanda Irish Internet Association (industry organization) http://www.iia.ie/ Irish Council for Civil Liberties http://www.iccl.ie/ Italia Associazione Nazionale per la Difesa della Privacy http://difesaprivacy.blogspot.com/ Electronic Frontiers Italy (NGO) http://www.alcei.it/ Privacy.it http://www.privacy.it/ Anopticon http://tramaci.org/anopticon/ Digital Thoughts (blog addressing ICT law with emphasis on Italy) http://blog.andreamonti.eu/ Letonia CEEC: Data Protection in the Republic of Latvia http://www.ceecprivacy.org/main.php?s=2&k=latvia Human Rights in Latvia http://www.humanrights.lv/ Lituania
203
Human Rights Monitoring Institute - Lithuania http://www.hrmi.lt/ Luxemburgo Internet Society Luxembourg http://www.isoc.lu/ Macedonia Metamorphosis Foundation http://www.metamorphosis.org.mk/ CEEC: The Office for Personal Data Protection http://www.ceecprivacy.org/main.php?s=2&k=macedonia Malta Chetcuti Cauchi Advocates (law firm data protection unit) http://www.cc-advocates.com/data-protection/unit.htm Noruega Electronic Frontier Norway http://efn.no/ The Norwegian Board of Technology http://www.teknologiradet.no/FullStory.aspx?m=5 Pases Bajos Bits of Freedom (NGO) http://www.bof.nl/index_uk.html Privacy.pagina.nl (online portal) http://privacy.pagina.nl/ Polonia CEEC: Data Protection in Poland http://www.ceecprivacy.org/main.php?s=2&k=poland Inspector General for the Protection of Personal Data
204
http://www.giodo.gov.pl/138/j/en/ Privacy Protection in Data Communication Systems (government produced guide) http://techinfo.giodo.gov.pl/index-en.html Panoptycon Foundation http://www.panoptykon.org/ Repblica Checa Czech News Agency (CTK) http://www.ctk.eu/ Prague Post http://www.praguepost.cz/ Iuridicum Remedium http://www.iure.org/ Big Brother Awards CR http://www.bigbrotherawards.cz/en/english/home-eng Rumania Association for the Defence of Human Rights in Romania (NGO) http://www.apador.org/indexe.htm Romanian People's Advocate Institution Ombudsman http://www.avp.ro/indexen.html Centrul pentru Jurnalism Independent http://www.cji.ro/ Suecia Matthias Klang, Country ReportSweden, APC European Internet Rights Project http://europe.rights.apc.org/c_rpt/sweden.html Suiza Directory of compiled Federal laws and regulations (decrees) http://www.admin.ch/ch/d/sr/sr.html (in German, French and Italian) Directory of decisions of the Swiss Federal Court (Bundesgericht) http://www.polyreg.ch/##
205
Swiss "Big Brother Awards" http://www.bigbrotherawards.ch Swiss Federal Government and Administration http://www.admin.ch Turqua Publications of Dr. Yaman Akdeniz http://www.cyber-rights.org/yamancv.htm Reino Unido Campaign for Freedom of Information (NGO) http://www.cfoi.org.uk/ Foundation for Information Policy (NGO) http://www.fipr.org/ Privacy International (NGO) http://www.privacyinternational.org Privacy Laws and Business (NGO) http://www.privacylaws.co.uk/ Statewatch (NGO) http://www.statewatch.org

206

Guía de Privacidad para Hispanohablantes 2012 (Privacy Guide For Spanish Speakers 2012)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guía de Privacidad para Hispanohablantes 2012 (Privacy Guide For Spanish Speakers 2012)

Transféré par

Droits d'auteur :

Formats disponibles

Guia de Privacidad para Hispanohablantes 2012

PREFACIO .......................................................................................... 13 MENCIONES ........................................................................................ 15 A. INFORMACIN GENERAL SOBRE PRIVACIDAD .................................... 16

B. TEMAS SOBRE PRIVACIDAD ............................................................ 35

C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85

D. UNIN EUROPEA ........................................................................... 133

E. ESPAA ....................................................................................... 161

RECONOCIMIENTOS ........................................................................... 185

ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195

EL DERECHO A LA PRIVACIDAD ............................................................................................................... 19 LA EVOLUCIN DE LA PROTECCIN DE DATOS ......................................................................................... 22

B. TEMAS SOBRE PRIVACIDAD ............................................................ 35

PRIVACIDAD EN EL CENTRO LABORAL .....................................................................................................48

Seguridad Nacional, Agencias de Inteligencia y el Sistema Echelon.................................. 77

AUTENTICACIN Y REVELACIN DE LA IDENTIDAD...................................................................................... 79 REGISTROS PBLICOS ......................................................................................................................... 83

C. PRIVACIDAD Y DERECHOS HUMANOS EN EUROPA 2010 .................... 85

INVESTIGACIN Y ANLISIS ................................................................................................................... 90

RESULTADOS .................................................................................................................................... 126 METODOLOGA ................................................................................................................................... 127

D. UNIN EUROPEA ........................................................................... 133

VII. TRANSFERENCIAS DE DATOS U.E.-E.U.A. ...................................................................................... 149

VIII. ACTORES REGULATORIOS CLAVE ....................................................................................................155

EL CONSEJO DE EUROPA ....................................................................................................................... 158

E. ESPAA ....................................................................................... 161

II. CAMPOS DE ACCIN ...................................................................................................................... 168

Internet y Privacidad del Consumidor .......................................................................................... 173

Privacidad Territorial ........................................................................................................................ 176

RECONOCIMIENTOS ........................................................................... 185

EQUIPO DE PRIVACIDAD Y DERECHOS EN EUROPA .................................................................................. 192

ANEXO: FUENTES SOBRE PRIVACIDAD ................................................ 195

FUENTES INSTITUCIONALES .................................................................................................................. 195

Organizaciones Intergubernamentales y de Cooperacin Internacional........................... 198

Alemania ......................................................................................................................................................... 200

<https://www.privacyinternational.org/phr>. <https://www.privacyinternational.org/ephr>. 3 <http://www.epic.org/>. 4 <http://www.cmcs.ceu.hu/>.

Editor Traductor Correctora de texto y de estilo Diseo de portada

Gracias por la ayuda de

Gus Hosein (Privacy International)

A. Informacin General sobre Privacidad

(Extracto de: Privacidad y Derechos Humanos 2006 )

Modelos de Proteccin de la Privacidad

La Evolucin de la Proteccin de Datos

Razones para Adoptar Leyes Integrales

Directivas de Proteccin de Datos de la Unin Europea

La iniciativa de privacidad de la APEC

Proteccin de Datos Iberoamericana

Supervisin y Comisionados de Privacidad y Proteccin de Datos

Flujos Transfronterizos de Datos y Parasos de Datos

B. Temas sobre Privacidad

(Extracto de: Privacidad y Derechos Humanos 2006 )

Sistemas de Identificacin y Cdulas de Identidad

centralizado de los sistemas biomtricos utilizados en el proceso de inscripcin para pasaportes.

Escaneo de Retina e Iris

Geometra de Manos (Impresiones Palmares)

Privacidad en el Centro Laboral

Vigilancia en el Centro Laboral

Monitoreo del Desempeo

Monitoreo del Correo Electrnico, el Uso de Internet y de Blogs

Pruebas de Consumo de Drogas

Sitios de Redes Sociales y Comunidades Virtuales

Vigilancia de las Comunicaciones

Protecciones Legales y Derechos Humanos

Normas Legales y Tcnicas para la Vigilancia: Construyendo al Gran Hermano

Vigilancia en Internet: Cajas Negras y Registradores de Golpes de Tecla

Datos de Transacciones y de Ubicacin

Ciberdelincuencia: Iniciativas Internacionales en la Armonizacin de la Vigilancia

Organizacin para la Cooperacin y el Desarrollo Econmicos