El pasado 13 de febrero del corriente, se realizó la apertura de las mesas de trabajo intersectorial para la redacción de la ley integral de datos personales. La misma fue convocada por la Comisión de Ciencia y Tecnología de la Cámara de Diputados, coordinado por la Diputada Kattya González y el Diputado Sebastián García.
Asistieron representantes de diversas institucionales nacionales como el Vice Ministro del MITIC Miguel Martin, Miguel Candia del Ministerio de Relaciones Exteriores, representantes del Banco Central del Paraguay, CONATEL, entre otros. Así mismo asistieron representantes del sector privado y de la sociedad civil como TEDIC, APADIT, Paraguay Ciberseguro, ISOC.
La apertura permitió intercambiar las necesidades de los distintos sectores en contar con un marco legal de protección de datos personales; coincidiendo la Diputada Kattya Gonzales, con lo que se viene expresando desde la Coalición de Datos personales: la protección de los datos personales es un derecho humano.
Celebramos la voluntad política de avanzar con la redacción de esta tan necesaria legislación. En nuestro artículo Ley de Datos Crediticios no es una Ley de Datos personales hacemos un recuento de lo que son ahora antecedentes de la presente mesa de trabajo. Desde la Coalición de Datos Personales hemos realizado una serie de acciones tendientes a la conformación de las presentes mesas de trabajo teniendo como logro anterior el hecho de que el proyecto de ley presentado originalmente como “ley de protección de datos personales” sea cambiado a “ley de protección de datos crediticios” Ello, en base a que el contenido regulaba exclusivamente datos pertenecientes al sector crediticio. A partir de ello, se logró instalar en la agenda la importancia de contar con una ley integral de protección de datos personales en tanto éstos son mucho más amplios que los datos crediticios y por ello merece un análisis profundizado.
El proyecto de ley preocupó especialmente en tanto nos encontramos en un contexto de crecimiento exponencial de las nuevas tecnologías que permiten un mayor y más rápido almacenamiento, además de un procesamiento de datos que sin un marco legal, resultan en violaciones a derechos fundamentales como ser el derecho a la privacidad y a la libertad de expresión.
En ese sentido, ante el proyecto de ley en cuestión manifestamos enérgicamente que la legislación debería proporcionar una protección sobre todo tipo de base de datos, no sólo las crediticias, dotando al país de una legislación más moderna que respete los derechos y garantías establecidos por nuestra Constitución Nacional y que al mismo tiempo, se adapte a las nuevas tecnologías.
Durante la discusión del tema en cuestión, manifestamos la necesidad de que dicha ley sea confeccionada mediante mesas de trabajo intersectoriales a fin de que se encuentren representados todos los sectores que tienen conocimiento o interés en el presente marco legal. En ese sentido cabe agradecer al Diputado Sebastián García quien acompañó nuestro trabajo.
¿Que implica una ley integral de datos personales?
En el creciente uso de las tecnologías en nuestra vida diaria, compartir datos se ha vuelto una cuestión habitual. Hay veces que incluso es necesario para acceder a ciertos servicios, sea que provengan del ámbito público o privado. Esto conlleva varios riesgos, en tanto los datos personales son básicamente información relativa a una persona. Dicha información varía. Para citar algunos ejemplos, van desde el nombre, el teléfono, la dirección hasta el historial médico o los antecedentes penales e incluso ideología política, orientación sexual entre otros. La doctrina ha profundizado este concepto por lo que actualmente no solamente se consideran datos personales a aquella información que identifica a una persona directamente como el ejemplo del nombre, sino también aquella información que hace que una persona sea identificable tras un análisis posterior. Un ejemplo de ello vendría a ser la geolocalización o GPS.
La falta de protección sobre los datos personales trae grandes riesgos. Como hemos señalado en artículos anteriores, algunos ejemplos concretos se dan en la divulgación de bases de datos a empresas que son utilizados para fines comerciales que resultan en que tu celular suene sin cesar con ofertas, el almacenamiento de datos biómetricos con la cámaras de reconocimiento facial ya instaladas en el territorio paraguayo sin aplicación de estándares de protección en la materia, divulgación de datos sensibles como ser VIH positivo que posteriormente son utilizadas de manera discriminatoria por ciertos lugares de trabajo, entre otros. La variedad de estas situaciones demuestra que la falta de protección no afecta a un sector, afecta a todas las personas por igual. Por lo que, en definitiva al no contar con la ley la ciudadanía no solo no tiene una herramienta que la proteja de abusos cometidos tanto por el sector público como el privado, sino que no tiene como reclamar que paren los abusos o que sean reparados.
Una ley integral de protección de datos personales apunta a la protección de las personas a través de asegurar que cuenten con las herramientas jurídicas suficientes para garantizar el control sobre su información personal. Esto implica la posibilidad de dar un consentimiento informado sobre que datos proporcionar (y no ser exigido/a a brindar más información de la estrictamente necesaria para el servicio que esta solicitando), ser informado/a acerca de la finalidad de dichos datos recabados (y que se utilicen únicamente para ese fin y no ampliado a otras cuestiones, y que estén limitados en su tiempo de uso) así como de que entidad tendrá dicha información y tener el derecho a denunciar en caso de que no se cumplan con estas premisas a fin de que ello sea reparado. A su vez, los datos recabados deben de ser manejados con confidencialidad. Así mismo, la mencionada ley debe distinguir entre datos personales y datos sensibles; en tanto poseen diferentes niveles de protección. Un dato sensible sería por ejemplo los datos biométricos, que al ser imposibles de sustituir, poseen una mayor protección. Por ejemplo, si se divulgan datos como el domicilio, aunque implique una situación tediosa, en última instancia existe la posibilidad de mudarse; el cambio si el dato refiere al iris por ejemplo, es imposible de cambiarse.
Por otra parte, la ley debe contar con una autoridad de aplicación independiente quien debe velar por el cumplimiento de la legislación y aplicar las sanciones correspondientes. Lo mencionado responde a principios internacionales sobre la materia, pudiendo destacarse como legislación marco el GDPR que es utilizado en la Unión Europea. Celebramos el inicio de las mesas de trabajo en tanto es el punto de partida para lograr la protección integral de las personas mediante la protección de su información. Así mismo reiteramos nuestro compromiso de aportar nuestros conocimientos y experiencias en la materia en miras a lograr una legislación que se adecue a estándares internacionales de derechos humanos.