¿Quién garantiza la protección de sus datos personales?

Jaime Mauricio Campos

Actualmente se encuentra en estudio un anteproyecto de “Ley de Protección de Datos” por parte de una mesa técnica integrada por representantes del Ministerio de Economía, el Instituto de Acceso a la Información Pública (IAIP) y el Registro Nacional de las Personas Naturales.

La garantía del derecho humano fundamental a la protección de datos personales y a la privacidad es una de las misiones más relevantes del IAIP, aunque –por ahora- muy poco conocida y desarrollada. De hecho, aunque la Ley de Acceso a la Información Pública (LAIP) establece que el IAIP es el órgano garante y especializado en acceso a la información pública y a la protección de datos personales, apenas le dedica nueve artículos a este último.

El nombre mismo de la Ley y la denominación del órgano tampoco contribuyen, pues únicamente resaltan el componente del acceso a la información pública. La tendencia en los países que cuentan con leyes de acceso a la información es asegurar también la protección de los datos personales mediante la aprobación de leyes para tal fin, y acaso el debate se centra en determinar si corresponde a una sola institución velar por ambos derechos o si, por el contrario, resulta más adecuado crear dos organismos autónomos para cada derecho.

En el derecho comparado, en México (2002) se aprobó la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, que reguló la protección de datos personales en poder de las instituciones públicas. Fue hasta que entró en vigencia la Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010) que se designó al ahora Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) como la autoridad garante de velar por ambos derechos.

En Chile, en el año 2009 entró en vigor la Ley de Acceso a la Información Pública y al igual que en México, el órgano garante tuvo atribuciones restringidas en materia de protección de datos personales en poder de las entidades públicas.

Otro modelo latinoamericano es el de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) de Uruguay, que es un organismo dependiente de la Presidencia que articula y promueve la participación ciudadana, el gobierno abierto y la modernización de la gestión pública, y que posee dos unidades desconcentradas: la Unidad de Acceso a la Información Pública, y la Unidad Reguladora y de Control de Datos Personales.

Una experiencia distinta es la de Argentina, donde se reguló primero la Ley de Protección de Datos Personales (2000) y muy recientemente una de acceso a la información pública, a nivel federal. La autoridad en materia de protección de datos es la Dirección Nacional de Protección de Datos Personales, que depende del Ministerio de Justicia y Derechos Humanos.

En nuestro país, la atribución otorgada al IAIP para velar por la protección de datos está limitada al sector público, no obstante que es en el sector privado donde existe un tratamiento masivo de los datos personales. De ahí que uno de los aspectos más relevantes del anteproyecto es extender la competencia del Instituto a la protección de los datos personales “en posesión de particulares o entidades públicas”.

El potencial de ampliar esta competencia es enorme. De hecho, en México, se calcula que existen más de cinco millones de responsables,es decir, personas naturales o jurídicas de carácter privado que deciden sobre el tratamiento de datos personales; y ello exigió que el presupuesto del INAI se duplicara.

Aunque el derecho de protección de datos personales está en ciernes en El Salvador, corresponde al IAIP difundir este derecho y destacar el valor, incluso económico, que tienen estos datos, así como crear conciencia en la población sobre la necesidad y los beneficios de su protección.

El artículo 6 letra a. de la LAIP define como datos personales la información privada concerniente a una persona, identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio, dirección electrónica, número telefónico, número de documento de identidad, tipo de sangre, firma o huella digital, entre otros.

Bajo una categoría especial se encuentran los “datos personales sensibles”, que gozan de una mayor protección por estar relacionados con los aspectos más íntimos de las personas. Aquí se ubica la información referente a su credo, religión, origen étnico, afiliación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, situación moral y familiar y otros datos íntimos de similar naturaleza o que pudieran afectar el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

En el breve recorrido de la Ley, el IAIP ha logrado garantizar el derecho a la protección de los datos personales de usuarios del seguro social y de hospitales públicos, que han solicitado el acceso a copias de sus expedientes clínicos; y asimismo de los clientes del sistema financiero que han deseado conocer su calificación e historial crediticio.

El IAIP no solo protege los datos personales en posesión de las instituciones públicas, sino que garantiza su exactitud. Por eso también vela por el derecho de las personas a obtener la rectificación y cancelación de sus datos cuando los registros estatales son injustificados o inexactos; y a que se les informe sobre la finalidad para la que se recaban sus datos, así como al derecho a oponerse para que su información sea usada o divulgada.

La LAIP establece que toda persona, directamente o a través de su representante, puede ejercer los derechos de acceso, rectificación, cancelación y oposición de sus datos, denominados por sus siglas: “derechos ARCO”.

El derecho de acceso implica tener entrada a los datos personales que se encuentran en poder de las instituciones responsables, a saber si se están procesando, a conseguir la información contenida en documentos o registros sobre su persona, a la consulta directa de los mismos y a conocer el “aviso de privacidad” al que está sujeto el tratamiento de sus datos.

Por ejemplo, la captación y/o la grabación de imágenes de personas identificadas o identificables, con fines de vigilancia mediante cámaras, videocámaras o cualquier otro medio técnico, en espacios privados o públicos, constituye un tratamiento de datos personales para lo cual es necesario lograr un equilibrio entre el fin que estos sistemas de seguridad persiguen y el respeto a la privacidad de las personas.

De ahí que no resulte extraño que el IAIP pueda instruir a todas las entidades públicas, mediante un lineamiento de carácter general y obligatorio, que cerca de los lugares donde se ubican cámaras de video vigilancia exista un “aviso de privacidad” que les permita saber a las personas que ingresan en esas zonas que sus datos están siendo captados.

En definitiva, la experiencia en otros países demuestra que pese a la difusión y expansión que tiene el derecho de acceso a la información pública, también se necesita regular la protección de datos personales, pues en el balance entre ambos derechos uno no es menos importante que el otro.