PublicacionesDe la necesidad imperativa de una Ley Orgánica de Uso y Protección de Datos Personales en la República Dominicana

12 mayo, 2020

En julio de 2019, escribí este artículo, inspirada en la mitología griega.  Así veo las nuevas tecnologías y la inteligencia artificial, como la intrigante caja de pandora -que, en realidad, era un jarrón, pero la palabra pithos no fue traducida correctamente- la cual libera y maneja toda información, ya sea buena o mala.

Me complace saber que, de la mano del Instituto Dominicano de las Telecomunicaciones (INDOTEL), se está trabajando en una propuesta para la protección de datos personales con miras a que sea tomada en cuenta para la sustitución de la actual ley núm.172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos y otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados, del 13 de diciembre de 2013.

El tratamiento adecuado de los datos personales es esencial para el respeto del derecho a la vida privada de las personas físicas. Es de entendimiento general que, en el marco del derecho internacional de la información, dicho tratamiento debe ser examinado desde una perspectiva legal y económica; e.g. el uso del Reglamento General de Protección de Datos Personales (RGPD) o General Data Protection Regulation (GDPR, por sus siglas en inglés) y su compatibilidad con la tecnología del Blockchain.

Es importante preguntarnos: ¿Sería posible una transferencia del modelaje europeo en cuanto a la normativa de protección de data personal de personas físicas a nuestro país? Examinemos.

En el espacio europeo, el artículo 99.2 de “The General Data Protection Regulation (GDPR)”, cuya entrada en vigor data del 25 de mayo de 2018, hace referencia a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de esos datos.  El Reglamento se aplica a todas las empresas (incluidos sus comités de empresa) administraciones y asociaciones que procesan datos personales.

Dentro del marco regulador del Derecho Europeo, los reglamentos se encuentran en una posición jerárquica superior a las Directivas.  El principio de Derecho Europeo del «effet direct» vertical y horizontal completo para los reglamentos, conforme lo establecido en el artículo 288 del Tratado sobre el Funcionamiento de la Unión Europea, tiene por objeto la armonización de las normativas europeas y la implementación directa e inmediata de los reglamentos a los Estados miembros.  El RGPD abrogó la Directiva 95/46/CE.

El RGPD tiene una particularidad frente a otros reglamentos europeos y es que tiene mecanismos parecidos a los de una Directiva.  En las Directivas, los Estados miembros de la Unión Europea pueden decidir sobre cuales disposiciones aceptan y cuales no; además, para formar parte del marco jurídico de cada Estado miembro, debe crearse una ley de transposición ya que no disfrutan del principio de «effet direct» i.e. efecto directo de los reglamentos.

En el caso español, el RGPD va de la mano con la ley orgánica núm.3/2018 que es una ley que pretende adaptar el derecho interno español al Reglamento General de Protección de Datos. La ley establece la edad mínima de consentimiento en España (14 años, según lo dispuesto en el artículo 8 del RGPD) y la forma en que los familiares pueden acceder a los datos de las personas fallecidas, modificarlos y suprimirlos -los datos de las personas fallecidas no entran en el ámbito de aplicación del RGPD, Recital 27-.

El campo de aplicación territorial, el RGPD puede alcanzar a los responsables de tratamiento de datos personales que se encuentren radicados fuera de la Unión Europea, cuando el tratamiento de datos personales esté relacionado con la oferta de bienes y servicios en el espacio europeo; esto implica que habrá importantes cambios e impactos en América. Y aquí reposa la relevancia de que la República Dominicana cuente con una ley orgánica que contemple la protección de datos personales y que derogue la ley núm.172-13.

¿Por qué una ley orgánica como el caso español? Simple, porque las leyes orgánicas tienen como principal finalidad la protección de los derechos fundamentales y las libertades públicas, de manera especial, el honor y la integridad.

 Quid de la necesidad imperativa de una ley orgánica de Protección de Datos Personales, en la República Dominicana:

  • Mostrar «compliance». De conformidad con las regulaciones internacionales, que son el estándar en materia de protección de datos personales; es crucial para todas las economías y Estados ya que muchas relaciones de tipo comercial y de inversión comienzan a tomar en cuenta la ya mencionada compliance-conformidad con los principios del RGPD para establecerse en determinados territorios.
  • En general, se considera relevante que se incluyan o se tomen en cuenta los siguientes lineamientos para la efectiva redacción de una nueva ley orgánica referente a la protección de datos personales: creación de un órgano de control que debería ser una institución con personalidad jurídica (capaz de ser titular de derechos y deberes), de carácter autónomo e independiente, sancionadora, completamente imparcial al sector público y privado; e.g. Information Commissioner’s Office (ICO) en Reino Unido y la Commission nationale de l’informatique et des libertés (CNIL) en Francia.
  • En la actualidad dominicana, el órgano de control contenido en el artículo 29 de la ley núm.172-13 contempla que el «órgano de control» es la Superintendencia de Bancos (entidad pública), lo que plantea una gran limitante para la protección de datos personales. Todas las demás entidades que manejan, recolectan, gestionan y administran datos personales no están debidamente reguladas ya que no entran dentro del campo de control de la Superintendencia de Bancos.  Ello representa un nivel muy bajo de protección y de seguridad de los datos personales.  Entender que la data personal implica todo dato que pueda, de manera directa o indirecta, identificar a una persona física, es la base para encaminarnos hacia una nueva legislación, con miras al presente y al futuro de la privacidad de datos o data privacy.
  • La inclusión de una Evaluación o Estudio de Impacto o Data Protection Impact Assessment (DPIA) y Privacy Impact Assessment (PIA) para los casos más especiales de tratamiento de data personal e.g. data genética, uso de video vigilancia, data biométrica entre otros.
  • La creación de un «registro-reporte» adicional y obligatorio dentro del marco de las funciones del responsable del archivo de datos personales. Este registro-reporte permitirá observar/medir claramente las actividades que se realizan con la data personal recolectada. Será una obligación para las entidades públicas y privadas, así como para los subcontratantes que manejen y/o recolecten data personal, la inclusión de nuevas categorías de data: genética y biométrica.
  • Un interés legítimo justificado debe ser la piedra angular de la nueva normativa, no solamente el consentimiento. El consentimiento libre, expreso y consciente del titular de datos como base legal para establecer el derecho al acceso de su data personal ya no debe ser considerado como suficiente. En la hipótesis de una relación empleador-trabajador, en la cual el trabajador se encuentra en una situación de evidente desventaja y vulnerabilidad, podría provocar una aceptación no necesariamente voluntaria al acceso a sus datos personales.
  • Requisitos más claros y específicos sobre el manejo de datos personales por parte de las empresas del sector público y privado, así como de cualquier otra organización que maneje datos personales, de forma directa o indirecta.
  • El responsable del archivo es la referencia del cumplimiento de una entidad del respeto al buen uso de los datos personales. Su rol es esencial para el buen desempeño de la normativa. Dicha responsabilidad, en principio, no debe ser asumida por el director, presidente, de la entidad.
  • Establecer estándares y principios que se correspondan con la tendencia mundial e.g. accountability (rendición de cuentas-responsabilidad), legalidad, equidad y transparencia, minimización de datos.
  • Establecer responsabilidades más claras y precisas para el administrador o responsable del archivo de datos personales, así como para los posibles subcontratistas, que puedan también tener acceso/manejo de esta información.
  • Establecer limitaciones, claras y estrictas, a la vigilancia a través de cámaras de video a trabajadores; ya que un uso excesivo e innecesario de video vigilancia, sin límite de tiempo, atenta al derecho fundamental del respeto a la vida privada.
  • Definición (actualizada) de términos i.e. data personal, datos personales sensibles, data genética, data biométrica, titular de datos, responsable del archivo de datos personales, consentimiento, interés legítimo, entre otros.
  • El tratamiento de datos personales de menores de edad no puede estar contenido, superficialmente en la normativa nacional, debe explicarse: la edad mínima de consentimiento, el alcance, los efectos y demás factores de importancia.

En conclusión, si existe alguna duda sobre lo imprescindible que resulta contar con una ley orgánica de esta naturaleza, sólo tomemos en cuenta lo establecido en el artículo 37, numeral 3 de la ley núm.172-13, el cual es una de las excepciones al requisito de consentimiento: «cuyos datos se limiten a nombre, cédula de identidad y electoral, pasaporte, identificación tributaria y demás informaciones biográficas», erróneamente, estableciendo que estos datos no son sensibles, cuando en realidad, internacionalmente, si lo son y se manejan con el más extremo cuidado y protección.

ICO: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/lawfulne ss-fairness-and-transparency/

Traité sur le Fonctionnement de l’UE Article 288: https://eur-lex.europa.eu/resource.html?uri=cellar:88f94461-564b-4b75-aef7-c957de8e339d.0010.01/DOC_3&format=PDF

CNIL- Commission National de l’informatique et libertés : https://www.cnil.fr/cnil-direct/question/reglement-europeen-sur-la-protection-des-donnees-que-faut-il-savoir?visiteur=part

Reglamento general de protección de datos personales-RGPD o GDPR-General Data Protection Regulation:https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

CNIL-Website: https://www.cnil.fr/fr/affaire-cambridge-analytica-facebook

Artículo 6 RGPD: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

Ley No. 172-13: https://indotel.gob.do/media/6200/ley_172_13.pdf