Clase 5 - Derechos Digitales

Recolección, almacenamiento y tratamiento de datos personales 2 3 Legislación nacional … es lo que hay. 4 Regulación Leyes ● ● ● ● Ley 19.628, Sobre Protección de Datos Personales Ley 20.285, Sobre Acceso a la Información Pública Ley 20.575, Sobre Principio de Finalidad en el Tratamiento de Datos Personales, Ley 21.096, Facilita el Intercambio recíproco de información con otros países. Decretos ● ● ● ● Reglamento Ley 19.628 Reglamento Ley 20.285 Reglamento Ley 20.584 Reglamento Base Unificada de Datos (en tramitación).. Proyectos en tramitación ● ● Boletín N° 11.144-07 Boletín N° 11.092-07 5 Ley 19.628 (1999) Se compone de 24 artículos permanentes y tres transitorios, distribuidos en siete títulos: ● ● ● ● ● ● ● Título Preliminar: Disposiciones generales (artículo 1 a 3) Título I: De la utilización de datos personales (artículos 4 a 11) Título II: De los derechos de los titulares de datos (artículos 12 a 16) Título III: De la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial (artículo 17 a 19) Título IV: Del tratamiento de datos por los organismos públicos (artículos 20 a 22) Título V: De la responsabilidad por las infracciones a esta ley (artículo 23) Título Final, con un artículo único modificatorio del Código Sanitario 6 Fuente: Rodrigo Moya 7 ¿Cuándo se puede tratar un dato? Hipótesis de tratamiento Hipótesis de tratamiento ● La ley 19.628 lo autoriza. ● Otras disposiciones legales lo autorizan. ● Cuenta con el consentimiento del titular. 9 Requisitos del consentimiento Expreso: La autorización debe constar por escrito (“consienta expresamente”: en términos formales y explícitos) Informado: La persona que autoriza debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público. Temporal: La autorización puede ser revocada, aunque sin efecto retroactivo, lo que también deberá hacerse por escrito. 10 11 Nadie lee los términos y condiciones ● Tomaría 244 horas al año (McDonald y Cranor, 2008). ● La mayoría están en inglés. ● Se requiere el equivalente a grado de magíster para entenderlos (Beloniel y Becher, 2019) ● Si se identifica un abuso, las cláusulas suelen ser estándar. 12 Que la ley lo autorice ● Fuente accesible al público. ● Tratamiento de datos por personas jurídicas privadas. ● Tratamiento de datos por organismos públicos. ● Datos necesarios para otorgamiento de beneficios de salud. 13 “ Artículo 2 letra i) Fuentes accesibles al público: los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes. 14 “ Artículo 4 inciso 5: No requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios. 15 Fuente accesible al público ● Transforma la regla general de protección en la excepción. ● Hace inaplicable el principio de finalidad y reserva (Alvarado 2014) ● Tampoco aplica en caso de transmisión automatizada. ● Jurisprudencia: Caso 24x7datos. 16 “ Artículo 4 inciso 6: Tampoco requerirá de esta autorización el tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos.. 17 Personas jurídicas privadas ● No se refiere a sindicatos y otros cuerpos intermedios ● La norma fue pensada en organizaciones gremiales, como ISAPRES (revisar historia de la ley). ● Proyecto de ley: interés legítimo. 18 “ Artículo 20.- El tratamiento de datos personales por parte de un organismo público sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a las reglas precedentes. En esas condiciones, no necesitará el consentimiento del titular. 19 Organismos públicos ● Exclusivamente en materias de su competencia (proyecto habla de atribuciones legales) ● Con sujeción a las reglas precedentes: eso incluye finalidad. ● Organismos públicos deben inscribir sus bases y su fundamento (Art. 22) ● Caso ministra Cubillos. 20 “ Artículo 10.- No pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. 21 Beneficio de salud ● No es una carta blanca para tratar datos de salud. ● Debe relacionarse con un beneficio concreto. ● Artículo establece taxativamente los casos en donde se pueden tratar datos sensibles: ○ Consentimiento ○ Ley ○ Beneficios de salud 22 Otras disposiciones los autoricen Ejemplo: Art. 7 i) Ley 19.477 Servicio de Registro Civil e Identificación. Celebrar convenios con otros organismos públicos y entidades privadas, con el objeto de proporcionar información contenida en los registros públicos del Servicio, con las limitaciones que la ley establece en lo que se refiera a la seguridad y confidencialidad de los datos. Por estas prestaciones se cobrarán los valores que se establezcan por resolución del Servicio 23 Derechos de los titulares Cómo ejercer la autodeterminación informativa ¿Cuáles son mis derechos? ● ● ● ● ● Acceso Rectificación Cancelación Oposición Portabilidad (todavía no está vigente) 25 Derecho de acceso Es el que tiene todo titular de datos para exigir del responsable del banco de datos información que le permita saber si se tratan datos suyos. De ser así, cerciorarse de su El ejercicio de estos exactitud y de la licitud de derechos es gratuito y el responsable debe su tratamiento. contestar en el plazo de ● ¿Qué datos? ● ¿De dónde provienen? dos días hábiles. ● ● ¿Por qué los tiene? ¿A quién los destina? 26 Derecho de rectificación Es el que tiene todo titular de datos para exigir la rectificación de aquellos que le conciernen cuando se trate de datos erróneos, inexactos, equívocos o incompletos. Es la concretización del principio de calidad. No se podrá pedir ejercer ninguno de estos derechos cuando cuando ello impida o entorpezca el debido cumplimiento de las funciones fiscalizadoras del organismo público, o afecte la reserva, secretos o seguridad nacional.. 27 Derecho de cancelación Es el que tiene todo titular de datos para exigir la destrucción de datos almacenados, cualquiera fuere el procedimiento empleado para ello Lo vamos a ver en más Cuando carezca de fundamento legal o cuando detalle cuando veamos el hayan caducado por cambio derecho al olvido.. de circunstancias. Muestra de que el consentimiento siempre se puede retractar. 28 Derecho de bloqueo Es la facultad de todo titular de datos para exigir la suspensión temporal de cualquiera de las operaciones del tratamiento de datos. Opera cuando la exactitud de los datos no pueda ser establecida o su vigencia sea dudosa y siempre que no proceda la cancelación. GDPR: Si la configuración del sistema de información no permite el bloqueo, o se requiere una actuación desproporcionada por parte del responsable, éste procederá a realizar un copiado seguro de la información de modo que conste evidencia 29 Derecho de portabilidad No está vigente. Derecho del titular de datos a solicitar y obtener del responsable, una copia de sus datos personales Desafíos: Debe ser en un formato electrónico estructurado, ● ¿Qué pasa con los genérico y común, que datos inferidos? permita ser operado por ● Costos de la distintos sistemas, y poder interoperabilidad comunicarlos o transferirlos ● ¿Debería ser a otro responsable de datos.. gratuito? 30 “ Artículo 5º.- El responsable del registro o banco de datos personales podrá establecer un procedimiento automatizado de transmisión, siempre que se cautelen los derechos de los titulares y la transmisión guarde relación con las tareas y finalidades de los organismos participantes. Frente a un requerimiento de datos personales mediante una red electrónica, deberá dejarse constancia de: a) La individualización del requirente; b) El motivo y el propósito del requerimiento, y c) El tipo de datos que se transmiten. La admisibilidad del requerimiento será evaluada por el responsable del banco de datos que lo recibe, pero la responsabilidad por dicha petición será de quien la haga. El receptor sólo puede utilizar los datos personales para los fines que motivaron la transmisión. No se aplicará este artículo cuando se trate de datos personales accesibles al público en general. 31 Gracias! Preguntas? Me pueden encontrar en @pabloviollier o en pablo@derechosdigitales.org 32