La protección de datos personales se remonta a 1948, cuando la Asamblea General de las Naciones Unidas adopta el documento conocido como Declaración Universal de Derechos Humanos, en este documento se expresan los derechos humanos conocidos como básicos. En el artículo 12 se señala lo siguiente:
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
Actualmente, una gran cantidad de datos personales, incluyendo aquellos conocidos como datos biométricos, son almacenados en sistemas computacionales, factor que los hace susceptibles de sufrir ataques informáticos.
En varios países del mundo hay esfuerzos por crear legislaciones que establezcan los límites, permisos y castigos entorno al manejo adecuado de los datos contenidos en los sistemas de información, sobre todo de aquellos definidos como datos personales.
Esta investigación busca un precedente legal de cómo son considerados los datos biométricos por las leyes de protección de datos personales de distintos países en el mundo.
A continuación, se describen algunos conceptos relevantes en este tema:
Dato personal. Se refiere a toda aquella información asociada a una persona o individuo que lo hace identificable del resto de las personas y/o como parte de un grupo determinado de individuos, por ejemplo: nombre, domicilio, teléfono, fotografía, huellas dactilares, sexo, nacionalidad, edad, lugar de nacimiento, raza, filiación, preferencias políticas, fecha de nacimiento, imagen del iris del ojo, patrón de la voz, etc. La idea central de este concepto es común en las legislaciones de protección de datos que distintos países han redactado.
Datos personales sensibles. Comúnmente se refiere a todos aquellos datos que se relacionan con el nivel más íntimo de su titular y cuya divulgación pueda ser causa de discriminación o generar un severo riesgo para su titular. De manera general, se consideran datos sensibles aquellos que revelen características como origen étnico o racial, estado de salud, creencias religiosas, opiniones políticas, preferencia sexual, pertenencia a sindicatos, creencias filosóficas y morales, entre otras. Esta clase de información debe ser tratada con mayor responsabilidad y establecer medidas de protección más estrictas.
Datos biométricos. Por definición común, los datos biométricos son aquellos rasgos físicos, biológicos o de comportamiento de un individuo que lo identifican como único del resto de la población. Aquellos sistemas informáticos en los que se mide algún dato biométrico, como parte del proceso de identificación y/o autentificación de un sujeto, son conocidos como sistemas de seguridad biométrica o simplemente sistemas biométricos.
La siguiente lista son algunos ejemplos de datos biométricos:
• Huellas dactilares
• Geometría de la mano
• Análisis del iris
• Análisis de retina
• Venas del dorso de la mano
• Rasgos faciales
• Patrón de voz
• Firma manuscrita
• Dinámica de tecleo
• Cadencia del paso al caminar
• Análisis gestual
• Análisis del ADN
Por definición y por su propia naturaleza, los datos biométricos son datos personales, sin embargo, la interrogante es ¿Cuál es la aplicación de las leyes de protección de datos personales con respecto a los datos biométricos?
Leyes de protección de datos en el mundo
En el mundo existen dos vertientes principales entorno a la protección de los datos personales: El modelo europeo busca proteger la información y la propiedad de la misma, en aras de conservar la honorabilidad de la persona aun cuando ésta hubiese fallecido, la motivación de este modelo tiene base en los derechos humanos de los individuos. El modelo estadounidense pretende proteger la información de las personas con el concepto de derecho a la privacidad, el cual puede extinguirse con la muerte del sujeto, el modelo surge derivado de motivos comerciales ya que las empresas utilizaban de manera indiscriminada esa información.
Diversos países han promulgado leyes de protección de datos personales y en cada país se ha buscado adaptar, a sus propias condiciones culturales, económicas y políticas, las bases de alguno de los dos modelos de protección de datos personales existentes. A continuación, se mencionan algunos casos relevantes sobre las leyes de protección de datos personales de distintos países, organizaciones y regiones del mundo:
1. Organización de Naciones Unidas (ONU). En 1948, adopta el documento conocido como Declaración Universal de Derechos Humanos, en la que el artículo 12 señala que las personas tienen derecho a la protección de la ley de sus datos personales.
2. Alemania. En 1970 fue aprobada la primera ley de protección de datos (Datenschutz). En 1977, el Parlamento Federal Alemán aprueba la Ley Federal Bundesdatenschutzgesetz. Estas leyes impiden la transmisión de cualquier dato personal sin la autorización de la persona interesada.
3. Suecia. En 1973 fue publicada la que fue una de las primeras leyes de protección de datos en el mundo.
4. Estados Unidos de Norteamérica. La protección de datos tiene base en la Privacy Act de 1974.
5. Unión Europea. El primer convenio internacional de protección de datos fue firmado en 1981 por Alemania, Francia, Dinamarca, Austria y Luxemburgo. Es conocido como “Convenio 108” o “Convenio de Estrasburgo”. En los 90’s, se establece una norma común que se denominó Directiva 95/46/CE. La directiva es referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
6. España. La ley Orgánica 15 de 1999, establece la Protección de Datos de Carácter Personal. Está ley ha sido importante para Latinoamérica porque se ha utilizado como firme referente del modelo europeo.
7. Latinoamérica. En América Latina, las leyes de protección de datos personales surgen como una necesidad derivada del incremento del uso de las tecnologías de la información y el aumento de las vulnerabilidades asociadas. En su mayoría, estas leyes se asemejan al modelo europeo: En Argentina la Ley 25.326 (2000), Chile (1999), Panamá (2002), Brasil (1997), Paraguay (2000), Uruguay (2008).
8. Rusia. En el año 2006 fue aprobada una exhaustiva ley de protección de datos personales.
9. Perú. La ley 29.733 del 2 de julio de 2011 es la más reciente ley de protección de datos personales en el mundo.
10. México. La Ley Federal de Protección de Datos Personales en Posesión de Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, entró en vigor un día después y tiene efecto a partir de enero del año 2012.
Esta ley pretende salvaguardar el respeto a la privacidad, dignidad e información de las personas, en ella se establecen cuatro derechos fundamentales que tienen los individuos sobre su información en posesión de cualquier persona física o empresa particular (aseguradoras, bancos, tiendas departamentales, telefónicas, hospitales, laboratorios, universidades, etc.), son los denominados derechos ARCO: Acceso, Rectificación, Corrección y Oposición.
La ley también indica que los particulares deberán avisar, a cada persona de la que obtengan información personal, sobre el tratamiento que planean dar a sus datos. Lo anterior se debe hacer mediante un aviso de privacidad, el cual deberá ser respetado por el particular, y cada persona notificada tendrá la libertad de otorgar o no su consentimiento respecto al procesamiento de su información.
Mapa de protección de datos personales
David Banisar[1] ha publicado un mapa con las leyes de protección de datos personales aplicadas en el mundo (Fig. 1). La clasificación de Banisar parece evaluar únicamente el modelo europeo de protección de datos personales, ya que no incluye a los Estados Unidos como parte de los países con legislación sobre protección de datos personales.
Con esto concluye la primera parte de este artículo, en la segunda parte se hará mención de los riesgos asociados a los datos biométricos, de aquellas leyes de protección de datos personales, de distintos países del mundo, que incluyen en sus artículos la protección explícita de los datos biométricos.
Coautores de este artículo:
Linda Karina Toscano Medina, María del Carmen Prudente Tíxteco y Gualberto Aguilar Torres
Referencias bibliográficas (Parte I)
[1] Ley Nº 19.628 (Chile). Sobre Protección de La Vida Privada O Protección De Datos De Carácter Personal
[2] Ley 25.326 (Argentina). Protección de los Datos Personales
[3] Ley Orgánica 15/1999 (España), de 13 de diciembre, de Protección de Datos de Carácter Personal.
[4] Gregorio C.G. Protección de Datos Personales: Europa Vs. Estados Unidos, todo un dilema para América Latina (p. 299–325)
[5] Ley Estatutaria 1266 . Colombia. (2008)
[6] Gregorio C.G. Protección de Datos Personales en América Latina – Juan Pérez ante la disyuntiva de progreso y bienestar. Disponible en http://www.iijlac.org/docs/juanperez.pdf
[7] Millan A. (2011). Retos de la protección de datos personales en México. Consultado en: http://www.lasillarota.com/index.php?option=com_k2&view=item&id=16493:re...
[8] Directiva 95/46/CE del Parlamento Europeo y del Consejo
[9] Travieso J.A. (2009). Seguridad física y lógica para la protección de los datos personales. CIBRA
[10] Luxemburgo. Protection Des Personnes À L’égard Du Traitement Des Données À Caractère Personnel
[11] Suecia. Personal Data Act (1998:204)
[12] Reyes O. P. (2004). Legislación extranjera sobre Derecho de Acceso a la información. Biblioteca del Congreso Nacional de Chile.
[13] Ley Nº 18.331 (Uruguay). Protección de Datos Personales y Acción de "Habeas Data"
[14] Ley Nº 29733 (Perú). Ley de Protección de Datos Personales.
[15] Ley de Datos de Suecia 1973
[16] Privacy Act, 1974. United State of America
[17] Ley de Protección de Datos de Hesse (1970)
[18] Ley Alemana Federal de Protección de Datos (1977)
[19] Loi 78-17 Du 6 Janvier (1978). Relative À L'informatique, Aux Fichiers Et Aux Libertés (Francia)
[20] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[21] Ley de Protección de Datos Personales de Paraguay
[22] Tratado de Estrasburgo. Convenio para la protección de las personas con relación al tratamiento automatizado de datos de carácter personal.
[23] Banisar D., National Right to Information Laws, Regulations and Bills 2011 Map (November 22, 2011). Disponible en SSRN: http://ssrn.com/abstract=1857498
[1] David Banisar es un reconocido especialista en el campo de la política de la información, en particular en la intersección de los derechos humanos y las TIC.
http://cyberlaw.stanford.edu/profile/david-banisar. http://ssrn.com/abstract=1857498
