Privacy International defends the right to privacy across the world, and fights surveillance and other intrusions into private life by governments and corporations. Read more »


Chapter: 

Información general sobre privacidad

Resumen

La privacidad es un derecho humano básico. Esta sirve de fundamento a la dignidad y a otros valores tales como la libertad de asociación y la libertad de expresión. La privacidad se ha vuelto uno de los derechos humanos contemporáneos más importantes.1

La privacidad es reconocida alrededor del mundo en distintas regiones y culturas. Está protegida en la Declaración Universal de Derechos Humanos, en el Pacto Internacional de Derechos Civiles y Políticos, y en muchos otros tratados internacionales y regionales de Derechos Humanos. Prácticamente todos los países en el mundo incluyen al derecho a la privacidad en su constitución. Como mínimo, estas disposiciones incluyen los derechos de inviolabilidad del domicilio y el secreto de las comunicaciones. Recientemente las constituciones escritas incluyen derechos específicos para acceder y controlar la propia información personal. En muchos de los países en los cuales la privacidad no está reconocida de manera explícita en su Constitución, los tribunales han localizado tal derecho en otras normas. En muchos países, los acuerdos internacionales que reconocen el derecho a la privacidad tal como el Pacto Internacional de Derechos Civiles y Políticos o el Convenio Europeo de los Derechos Humanos han sido adoptados en su legislación.        

Definición de la privacidad

De todos los Derechos Humanos incluidos en los catálogos internacionales, la privacidad es quizás el más difícil de definir.2 Las definiciones de privacidad varían ampliamente de acuerdo al contexto y al medio. En muchos países, el concepto ha sido fusionado con el de protección de datos, el cual entiende a la privacidad en términos del manejo de la información personal.

Fuera de este más bien estrecho contexto, la protección de la privacidad es frecuentemente vista como un medio de trazar la línea de frontera hasta la cual la  sociedad puede inmiscuirse en los asuntos personales.3 La falta de una única definición no debe entenderse como una falta de importancia del tema. Como aseveró un escritor, “en cierta forma, todos los derechos humanos no son más que distintas facetas del derecho a la privacidad”.4  

Algunas perspectivas sobre la privacidad:

En la década de los 1890, el futuro Juez de la Corte Suprema de los Estados Unidos Louis Brandeis estructuró un concepto de privacidad que lo instituía como el “derecho a ser dejado solo o ser dejado en paz.” Brandeis sostenía que la privacidad era una de las libertades más apreciadas en una democracia, y le preocupó el hecho que debía estar contemplada en la Constitución.5

Robert Ellis Smith, editor del “Privacy Journal”, definió a la privacidad como “el deseo de todos de un espacio físico donde podamos estar libres de interrupciones, intromisiones, vergüenza, u obligación de dar cuenta y el intento de controlar el tiempo y la forma de revelar nuestra información personal.”6 

De acuerdo a Edward Bloustein, la privacidad es un beneficio de la personalidad humana. Esta protege la inviolabilidad de la personalidad, la independencia individual, la dignidad y la integridad.7

Según Ruth Gavison, tres elementos conviven en la privacidad: el secreto, el anonimato y la soledad. Es un estado que puede perderse, ya sea por elección de la persona en dicho estado o por medio de la acción de otra persona.8

La Comisión Calcutt en el Reino Unido afirmó, “en ningún lugar encontramos una definición legal, completamente satisfactoria, de la privacidad.” Pero la Comisión estuvo convencida de que se pudiera definir legalmente y adoptó la siguiente definición en su primer informe sobre la privacidad:

El derecho de la persona a ser protegida de la intromisión en su vida o asuntos personales, o aquellos de la familia, por medios físicos directos o por medio de la publicación de informaciones.9

El Preámbulo de la Australian Privacy Charter (Carta de Privacidad Australiana) dispone, “Una sociedad libre y democrática exige el respeto de la autonomía de la persona, y limita el poder tanto del Estado como de las organizaciones privadas de interponerse en dicha autonomía…La privacidad es un valor clave que sostiene a la dignidad humana y a otros valores claves tales como la libertad de asociación y la libertad de expresión…La privacidad es un derecho humano fundamental y una expectativa razonable de toda persona.”10

Facetas de la privacidad

La privacidad puede ser dividida en los siguientes conceptos separados pero relacionados:

  • Privacidad de la Información, la cual incluye el establecimiento de reglas que gobiernan la recolección y manejo de datos personales tales como información crediticia, y registros médicos y gubernamentales. Esta también se conoce como “protección de datos”;
  • Privacidad corporal, la cual se refiere a la protección de ser físico de las personas ante procedimientos invasivos tales como pruebas genéticas, pruebas de drogas y registro de cavidades;
  • Privacidad de las comunicaciones, la cual se refiere a la seguridad y privacidad del correo, las llamadas telefónicas, los correos electrónicos y otras formas de comunicación; y la
  • Privacidad territorial, que se refiere a la fijación de límites a la intromisión en los medios domésticos y otros tales como el centro laboral o el espacio público. Este incluye los allanamientos, la videovigilancia y el control de identificación.

 

Modelos de protección de la privacidad

Existen cuatro modelos principales de protección de la privacidad. Dependiendo de su aplicación, estos modelos pueden ser complementarios o contradictorios. En la mayoría de los países evaluados en la investigación, varios modelos son utilizados simultáneamente. En los países que protegen la privacidad de manera más efectiva, todos los modelos se utilizan en conjunto para garantizar la protección de la privacidad.

Leyes integrales

En muchos países alrededor del mundo, existe una ley general que regula la recolección, uso y diseminación de información personal tanto del sector público como del privado. Una entidad supervisora, entonces, garantiza su cumplimiento. Este es el modelo preferido por la mayoría de los países que han adoptado leyes de protección de datos y fue adoptada por la Unión Europea para garantizar el cumplimiento de su régimen de protección de datos. Una variante de estas leyes, la cuál es descrita como “modelo co-regulatorio”, fue adoptado en Canadá y Australia. Bajo este enfoque, la industria desarrolla reglas para la protección de la privacidad que son implementadas por la industria y supervisadas por la agencia de privacidad.  

Leyes sectoriales

Algunos países, como los Estados Unidos de América, han evitado promulgar reglas generales de protección de la privacidad a favor de leyes sectoriales que gobiernan, por ejemplo, los registros de alquiler de videos y la privacidad financiera. En tales casos, la aplicación se alcanza a través de una variedad de mecanismos. Un gran inconveniente con este enfoque es que necesita que nueva legislación se introduzca con cada nueva tecnología de modo que las protecciones frecuentemente se quedan rezagadas. La falta de protecciones legales para la privacidad de las personas en Internet en los Estados Unidos de América es un ejemplo notable de sus limitaciones. También existe el problema de la falta de una agencia supervisora. En muchos países, las leyes sectoriales son utilizadas para complementar una legislación integral proporcionando protecciones más detalladas para ciertas categorías de información, tales como las de telecomunicaciones, los archivos de la policía o los registros de créditos al consumidor.    

Autorregulación

La protección de datos puede también alcanzarse, al menos en teoría, a través de distintas formas de autorregulación, en las cuales las compañías y los organismos industriales establecen códigos de práctica y se comprometen en políticas propias. Sin embargo, en muchos países, especialmente en Estados Unidos de América, estos empeños han sido decepcionantes, con poca evidencia que las metas de los códigos sean cumplidos con regularidad. La adecuación y el cumplimiento son los principales problemas con estos enfoques. Los códigos de la industria en muchos países han tendido a proporcionar solamente protecciones débiles y falta de implementación.

Tecnologías de la orivacidad

Con el reciente desarrollo de sistemas basados en tecnología, disponibles comercialmente, la protección de la privacidad se ha desplazado a las manos de los usuarios individuales. Los usuarios de la Internet y de algunas aplicaciones físicas pueden emplear una diversidad de programas y sistemas que proporcionan distintos grados de privacidad y seguridad de las comunicaciones. Estas incluyen el cifrado, el reenvío con remitentes anónimos que transfieren mensajes de correo electrónico de manera anónima, servidores proxy y dinero digital. Los usuarios deben percatarse que no todas las herramientas protegen eficazmente la privacidad. Algunas están diseñadas de manera deficiente mientras que otras podrían estar diseñadas para facilitar el acceso de las fuerzas del orden. (Para un debate sobre este tema, diríjase a la sub-sección de Tecnologías de Mejora de la Privacidad).  

El derecho a la privacidad

El reconocimiento de la privacidad está profundamente enraizado en la historia. Se puede hallar el reconocimiento de la privacidad en el Corán11 y en los proverbios de Mahoma.12 La Biblia cuenta con numerosas referencias a la privacidad.13 La ley Judía ha reconocido por mucho tiempo el concepto de estar libre de la mirada de los demás.14 También hubo protecciones en la Grecia clásica y en la antigua China.15

Protecciones legales han existido en los países Occidentales por cientos de años. En 1361, la Ley de Jueces de Paz en Inglaterra hizo posible el arresto de los mirones y fisgones.16 En 1765, el Lord inglés Camden, al anular una orden judicial de registro de domicilio y confiscación de documentos escribió, “Podemos decir con seguridad que no existe ley en este país para justificar a los acusados por lo que hicieron; si la hubiera, esta destruiría todo el bienestar de la sociedad, pues los documentos son a menudo la propiedad más preciada que un hombre puede tener.”17 El parlamentario William Pitt escribió, “El hombre más pobre en su rústica vivienda puede ofrecer resistencia a todo el poder de la Corona. Su vivienda podría ser precaria; su techo podría temblar; el viento podría soplar a través de este; las tormentas podrían ingresar; la lluvia podría pasar – pero el Rey de Inglaterra no puede entrar; todas sus fuerzas no se atreven a cruzar el umbral de la casa en ruinas.”18     

Varios países desarrollaron protecciones específicas para la privacidad en los siglos subsiguientes. En 1776, el Parlamento Sueco promulgó la Ley de Acceso a los Registros Públicos que establecía que toda la información en manos del gobierno sea utilizada para propósitos legítimos. Francia prohibió la publicación de hechos privados y fijó fuertes multas para los transgresores en 1858.19 El Código Penal Noruego prohibió la publicación de información relacionada a “asuntos personales o domésticos” en 1889.  

En 1890, los abogados estadounidenses Samuel Warren y Louis Brandeis escribieron un artículo trascendental sobre el derecho a la privacidad como una acción de responsabilidad civil, describiendo a la privacidad como el “derecho a ser dejado a solas.”20Posterior a la publicación, este concepto de responsabilidad relacionada a la privacidad fue gradualmente recogida a lo largo de los Estados Unidos como parte de su sistema judicial.

El punto de referencia moderno sobre la privacidad a nivel internacional puede hallarse en la Declaración Universal de Derechos Humanos de 1948, la cual específicamente protege la privacidad territorial y de las comunicaciones.21 El Artículo 12 establece que:

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

Diversos tratados internacionales de derechos humanos reconocen específicamente a la privacidad como un derecho.22 El Pacto Internacional de Derechos Civiles y Políticos (PIDCP), en su Artículo 17,23 la Convención Internacional de las Naciones Unidas sobre la Protección de Todos los Trabajadores Migratorios y sus Familias, en su Artículo 14,24 y la Convención de las Naciones Unidas para los Derechos del Niño, en su Artículo 1625 adoptan el mismo lenguaje.26 

A nivel regional, varios tratados hacen de estos derechos legalmente exigibles. El Artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales 1950 (CEDHLF) establece:

1 Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

2 No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.27

El Convenio creó la Comisión Europea de Derechos Humanos y la Corte Europea de Derechos Humanos para supervisar su cumplimiento. Ambas han sido activas en el cumplimiento de los derechos a la privacidad y consecuentemente han observado las protecciones del Artículo 8 de manera extensiva y han interpretado sus limitaciones de manera restringida.28 La Comisión determinóen 1976:

Para diversos escritores anglosajones y franceses, el derecho al respeto a la “vida privada” es el derecho a la privacidad, el derecho a vivir, hasta el punto que uno desee, protegido de la publicidad….Sin embargo, en la opinión de la Comisión, el derecho al respeto a la vida privada no termina ahí. Este comprende también, hasta cierto grado, el derecho a establecer y desarrollar relaciones con otros seres humanos, especialmente en el campo emocional para el desarrollo y realización de la propia personalidad.29      

La Corte ha revisado las leyes de los Estados Miembros y ha impuesto sanciones a varios países por no regular las escuchas telefónicas por parte de los gobiernos y de particulares.30 Esta también ha revisado casos de acceso de personas a su información personal en archivos gubernamentales para garantizar que existen procedimientos adecuados con este propósito.31 Esta ha hecho extensivas las protecciones del Artículo 8 más allá de las acciones gubernamentales a aquellas ejecutadas por particulares donde parecía que el gobierno debió haber prohibido dichas acciones.32

Otros tratados regionales están también empezando a ser utilizados para proteger la privacidad. El Artículo 11 de la Convención Americana sobre Derechos Humanos estipula el derecho a la privacidad en términos similares a los de la Declaración Universal.33 En 1965, la Organización de Estados Americanos proclamó la Declaración Americana de los Derechos y Deberes del Hombre, la cual estableció la protección de vario derechos humanos, entre ellos el de privacidad.34 La Corte Interamericana de Derechos Humanos ha empezado a ocuparse de problemas de privacidad en sus casos.

La evolución de la protección de datos

El interés en el derecho a la privacidad se incrementó en las décadas de 1960 y 1970 con el advenimiento de la tecnología de la información. El potencial de vigilancia de poderosos sistemas de computación impulsaron las exigencias por normas específicas que rijan la recolección y el manejo de información personal. La génesis de la legislación moderna en esta área puede ser rastreada hasta la primera ley de protección de datos en el mundo promulgada en el Estado Federado de Hesse en Alemania en 1970. Ello fue seguido por leyes nacionales en Suecia (1973), los Estados Unidos de América (1974), Alemania (1977), y Francia (1978).35     

Dos instrumentos internacionales fundamentales se desarrollaron a partir de estas leyes. La Convención para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del Consejo de Europa en 198136 y las Directrices que Gobiernan la Protección de la Privacidad y el Intercambio Transfronterizo de Datos Personales de la Organización para la Cooperación y el Desarrollo Económico (OECD)37, fijan normas específicas que se ocupan del manejo de datos electrónicos. Estas normas describen a la información personal como datos a los que se les suministra protección, desde su recolección hasta su almacenamiento y difusión.

La locución protección de datos varía en distintas declaraciones y leyes. Sin embargo, todas exigen que la información personal deba ser:

  • obtenida de manera justa y legal;
  • utilizada solo para el específico propósito original;
  • adecuada, relevante y no excesiva con relación a su propósito;
  • exacta y actualizada;
  • accesible al sujeto;
  • mantenida de forma segura; y
  • destruida después de que haya logrado su propósito.

 

Estos dos acuerdos han tenido un profundo efecto en la promulgación de leyes alrededor del mundo. Casi treinta países han suscrito la convención del  Consejo de Europa y muchos otros están planeando hacerlo pronto. Las Directrices de la OECD también han sido ampliamente utilizadas en la legislación nacional, incluso fuera de los Estados Miembros de la OECD.

Razones para adoptar leyes integrales

Existen tres grandes razones para la tendencia a favor de leyes integrales de privacidad y protección de datos. Muchos países están adoptando estas leyes por una o más razones.

Para reparar antiguas injusticias. Muchos países, especialmente en Europa Central, América del Sur y en el Sur de África, están adoptando leyes para reparar las violaciones a la privacidad que ocurrieron bajo anteriores regímenes autoritarios.

Para promover el comercio electrónico. Muchos países, especialmente en Asia, han desarrollado o están desarrollando leyes en un esfuerzo para promover el comercio electrónico. Estos países reconocen que los consumidores están preocupados con el incremento de la disponibilidad de sus datos personales, particularmente con los nuevos medios de identificación y formas de transacción. Estos países también reconocen que los consumidores están inquietos con la posibilidad de que su información personal sea enviada al mundo. Las leyes de privacidad están siendo introducidas como parte de un paquete de leyes dirigidas a facilitar el comercio electrónico por medio de la fijación de reglas uniformes.     

Para garantizar leyes que sean consistentes con aquellas Paneuropeas. La mayoría de los países en Europa Central y Oriental están adoptando nuevas leyes basadas en el Convenio del Consejo de Europa No. 108 y la Directiva de Protección de Datos de la Unión Europea. Muchos de estos países esperan ser parte de la Unión Europea en un futuro cercano. Países de otras regiones están adoptando nuevas leyes o actualizando antiguas para garantizar que el comercio no será afectado por las exigencias de la Directiva de la Unión Europea.

Directivas de protección de datos de la Unión Europea

En 1995, la Unión Europea promulgó la Directiva de Protección de Datos con el fin de armonizar las leyes de los Estados Miembros estipulando niveles coherentes de protección para los ciudadanos y garantizando el libre flujo de datos personales dentro de la Unión Europea. La directiva fijó una línea base común de privacidad que no solo refuerza la actual ley de protección de datos, sino que también establece una gama de nuevos derechos. Esta se aplica al procesamiento de la información personal en archivos electrónicos y físicos.38

Un concepto clave en el modelo europeo de protección de datos es su "exigibilidad". Los titulares de la información tienen derechos establecidos en normas explícitas. Todos los países de la Unión Europea tienen un comisionado de protección de datos o una agencia encargada de hacer cumplir las normas. Se espera que los países con los que Europa hace negocios precisarán estipular un nivel similar de supervisión.

Los principios básicos establecidos por la Directiva son: el derecho a saber  dónde se originaron los datos; el derecho de tener rectificados los datos imprecisos; el derecho a un recurso ante la autoridad en el caso de un procesamiento ilegal de los datos; y el derecho a negar el permiso para la utilización de datos en algunas circunstancias. Por ejemplo, los individuos tienen el derecho sin cargo alguno de decidir no participar en la recepción de material de mercadeo directo. La Directiva contiene protecciones reforzadas sobre el uso de datos personales sensibles relativos, por ejemplo, a la salud, la vida sexual o sus creencias religiosas o filosóficas. En el futuro, el uso comercial o gubernamental de tal información en general requerirá de un consentimiento "explícito e inequívoco" del titular de la información.

La Directiva de 1995 impone la obligación sobre los estados miembros de garantizar que la información personal correspondiente a ciudadanos europeos tenga el mismo nivel de protección cuando se exporte, y procese en países fuera de la Unión Europea. Este requisito ha ocasionado una creciente presión fuera de Europa para aprobar leyes de privacidad. Aquellos países que se rehúsen a adoptar las adecuadas leyes de privacidad se podrían encontrar incapaces de transmitir cierto tipo de flujos de información con Europa, particularmente si estos involucran datos sensibles.

En 1997, la Unión Europea complementó la directiva de 1995 con la introducción de la Directiva de Privacidad de las Telecomunicaciones.39 Esta directiva estableció protecciones específicas que cubren la telefonía, la televisión digital, las redes móviles y otros sistemas de telecomunicaciones. Esta impone una amplia gama de obligaciones a las empresas portadoras y proveedoras de servicios para asegurar la privacidad de las comunicaciones de los usuarios, incluyendo las actividades relacionadas a la Internet. La norma cubre áreas que, hasta entonces, habían caído en los vacios de las leyes de protección de datos. El acceso a los datos de facturación fue severamente restringido, lo mismo que las actividades de mercadeo. Se requirió la tecnología de identificación de llamadas para incorporar una opción para un bloqueo por línea del número de transmisión. Se requirió que la información recolectada en la entrega de una comunicación se purgue una vez que fuera completada la llamada.

En julio de 2000, la Comisión Europea expidió una propuesta para una nueva directiva sobre privacidad en el sector de las comunicaciones electrónicas. La propuesta fue introducida como parte de un paquete más grande de directivas de telecomunicaciones dirigidas a reforzar la competencia dentro del mercado europeo de las comunicaciones electrónicas. Como se propuso originalmente, la nueva directiva habría reforzado los derechos a la privacidad de los individuos por medio de la ampliación de las protecciones que ya estaban en vigor para las telecomunicaciones a una categoría más amplia, y más tecnológicamente neutral de "comunicaciones electrónicas." Sin embargo, durante el proceso, el Consejo de Ministros empezó a presionar por la inclusión de unas disposiciones de retención de datos, que requería a los Proveedores del Servicio de Internet y a los operadores de telecomunicaciones el almacenar registros de todas las llamadas telefónicas, correos electrónicos, faxes, y actividad en Internet para propósitos de mantenimiento del orden público. Estas propuestas fueron fuertemente resistidas por la mayoría de los miembros del Parlamento. En julio de 2001, la Comisión de las Libertades Civiles del Parlamento Europeo aprobó el borrador de la directiva sin la retención de datos, estableciendo que:

La Comisión de las Libertades Civiles (Comisión LIBE) se expresó a favor de una regulación estricta del acceso a datos personales de los ciudadanos, tales como el tráfico de las comunicaciones y la ubicación de datos, por parte de las fuerzas del orden. Esta decisión es trascendental debido a que de esta manera el Parlamento Europeo bloquea los esfuerzos realizados por los Estados de la Unión Europea en el Consejo para poner a sus ciudadanos bajo una generalizada y omnipresente vigilancia, siguiendo el modelo Echelon.       

Sin embargo, luego de los eventos del 11 de septiembre, el clima político cambió y el Parlamento estuvo bajo presión creciente por parte de los Estados Miembros para adoptar la propuesta del Consejo sobre la retención de datos. El Reino Unido y los Países Bajos, en particular, cuestionaron si las normas de privacidad propuestas todavía iban en la dirección de "un justo balance entre la privacidad y las necesidades de fuerzas del orden a la luz de combate contra el terrorismo."40 El Parlamento resistió firme y hasta algunas semanas antes del voto final del 30 de mayo de 2002, la mayoría de los Miembros del Parlamento se opusieron a cualquier forma de retención de datos. Finalmente, después de mucha presión por parte del Consejo de Europa y de los gobiernos de la Unión Europea, y una buena labor de cabildeo por parte de dos miembros españoles del Parlamento Europeo,41 los dos principales partidos (PPE y PSE, los partidos de centro derecha y de centroizquierda respectivamente) alcanzaron un acuerdo para votar en favor de la posición del Consejo.

El 25 de junio de 2002 el Consejo de la Unión Europea adoptó la Directiva de Privacidad y de Comunicaciones Electrónicas como se voto en el Parlamento.42 Bajo los términos de la nueva Directiva, los Estados Miembros podrían ahora aprobar leyes autorizando la retención de los datos de tráfico y de ubicación de todas las comunicaciones que ocurran a través de teléfonos móviles, el servicio de mensajes cortos (SMS), teléfonos fijos, faxes, correos electrónicos, canales de conversación, la Internet, o cualquier otro mecanismo de comunicación electrónica. Tales requerimientos pueden ser implementados para propósitos que varíen desde la seguridad nacional hasta la prevención, investigación y procesamiento de infracciones criminales.

El 15 de marzo de 2006, el Consejo de la unión Europea adoptó una Directiva sobre Retención obligatoria de Datos de tráfico de Comunicaciones, la cual exige a los Estados Miembros requerir a los proveedores de comunicaciones a retener datos de comunicaciones por un periodo entre 6 meses a 2 años. Los Estados Miembros tuvieron plazo hasta el 16 de septiembre de 2007 para trasladar las exigencias de la Directiva en leyes nacionales; sin embargo, una postergación de 18 meses, hasta marzo de 2009, está disponible. Dieciséis de los 27 Estados Miembros de la Unión Europea han declarado que postergaran la implementación de la retención de datos de tráfico de Internet por el periodo adicional.43 La implementación de la Directiva de Retención de Datos continua siendo controversial.     

En otras áreas, la Directiva de Privacidad y de Comunicaciones Electrónicas ha tenido un resultado más favorable. Por ejemplo, añade nuevas definiciones y protecciones para las "llamadas," "comunicaciones," "datos de tráfico" y "datos de ubicación" con el fin de mejorar el derecho a la privacidad y el control en todos los tipos de procesamiento de datos de los consumidores. Estas nuevas disposiciones aseguran la protección de toda la información ("tráfico") transmitida a través de la Internet, prohíbe el mercadeo comercial no solicitado por correo electrónico ("correo comercial no solicitado o spam") sin previo consentimiento, y protege a los usuarios de teléfonos móviles del rastreo y la vigilancia de su ubicación precisa. La directiva también les da a los abonados a todos los servicios de comunicación electrónica (tales como el Sistema Global para Comunicaciones Móviles ((GSM, en inglés) y el correo electrónico) el derecho a estar o no enlistados en un directorio público.

La iniciativa de privacidad de la APEC

Las 21 economías de la APEC (Foro de Cooperación Económica Asia-Pacífico) iniciaron el año 2003 el desarrollo de un estándar de privacidad del Asia-Pacifico, y en 2004 podrían desarrollar un procedimiento para el tratamiento de los problemas de limitación de exportación de datos.44 Esta podría tornarse en la iniciativa internacional más significativa sobre privacidad desde la aparición de la Directiva de Protección de Datos de la Unión Europea a mediados de la década de 1990. En febrero de 2003, Australia presentó una propuesta para el desarrollo de los Principios de Privacidad de la APEC, utilizando las Directrices de la OCDE sobre Protección de la Privacidad y Flujos Transfronterizos de Datos Personales (1980)45 que ya cuentan con más de 20 años, como punto de partida. Un Sub-grupo de Privacidad, fue establecido con la participación de Australia, Canadá, China, Hong Kong, Japón, Corea, Malasia, Nueva Zelanda, Tailandia y los Estados Unidos. En marzo de 2004, la Versión 9 de los Principios de Privacidad de la APEC fue publicada como borrador de consulta pública. Los Ministros de la APEC respaldaron el Marco de Privacidad de la APEC en Noviembre de 2004. Los mecanismos de implementación, entre ellos el mecanismo vinculado al flujo transfronterizo de datos se halla actualmente bajo consideración pero todavía ningún borrador se ha hecho público.

El aspecto positivo de la iniciativa de privacidad de la APEC es que esta tiene el potencial para alentar el desarrollo de muy sólidas leyes de privacidad en aquellas economías de la APEC que actualmente proporcionan poca protección de la privacidad (la mayoría), y ayudar a encontrar un balance regional entre la protección de la privacidad y los beneficios económicos del comercio que involucra datos personales. El aspecto negativo es que a la vez presenta peligros potenciales considerables a largo plazo para la protección regional de la privacidad si este se vuelve un medio por el cual las economías del APEC acepten una norma de segunda categoría. A nivel mundial, un alto estándar de la norma de APECpodría ser un medio para resolver los problemas internacionales de exportación de datos, pero un bajo estándar de la norma de APEC podría arraigar una confrontación sobre la privacidad entre Europa y el Asia-Pacifico. La historia de la iniciativa de la APEC hasta la fecha muestra que los peligros son tan grandes como los potenciales beneficios, pero un resultado valioso para la protección de la privacidad todavía es posible.

Las críticas a los Principios de la APEC enfatizan que estos ni siquiera alcanzan el nivel de la norma de la OECD de hace más de 20 años, en tanto que debería incluir algunos refuerzos significativos donde las directrices de la OECD actualmente son muy débiles.46 Tanto la Australian Privacy Foundation (APF) como la Asian Pacific Privacy Charter Council (APPCC)47 han identificado48 muchas debilidades importantes.49  

El Sub-Grupo de Privacidad esta también considerando elaborar Mecanismos de Implementación, los cuales en sus primeros borradores (Versión 3) tenían debilidades cardinales en comparación con anteriores instrumentos internacionales de privacidad.50 Estas propuestas iniciales generan dudas sobre si el proceso seguido por la APEC será capaz o no de proteger adecuadamente los derechos humanos en toda la región Asia-Pacifico.

Protección de datos iberoamericana

Los problemas regionales de privacidad también están bajo consideración en América Latina. En 2007, en un seminario realizado en Columbia, representantes de doce países de América Latina, además de España y Portugal, hicieron hincapié en la necesidad de implementar medidas de armonización para la protección de datos personales que podrían permitir el libre flujo de información, por tanto facilitar el comercio. Los diferentes niveles de protección de datos en América Latina y Europa son un obstáculo para las actividades económicas que requieran un flujo constante de información, y particularmente debido muy pocos países de Latinoamérica cuentan con legislación en esta área. Las directrices y principios básicos de la protección de datos que son tradicionalmente utilizados en los acuerdos internacionales en el área, tales como los principios vinculados al propósito y la calidad de los datos, y los derechos de acceso, corrección, cancelación y oposición de los titulares de los datos, fueron establecidos y se acordó que estos serían traspuestos a leyes nacionales.51

Supervisión y comisionados de privacidad y protección de datos

Un aspecto esencial de cualquier régimen de protección de datos es la supervisión. En la mayoría de los países con una ley integral de protección de datos o privacidad, existe un funcionario o una agencia oficial que supervisa el cumplimiento de la ley. Los poderes de estos funcionarios, Comisionado, Defensor del Pueblo o Secretario General, varía ampliamente de país a país. Muchos países entre ellos Alemania y Canadá, también tiene funcionarios u oficinas a nivel estatal o provincial.

De acuerdo al Artículo 28 de la Directiva de Protección de Datos de la Unión Europea, todos los países de la Unión Europea deben contar con un organismo de cumplimiento independiente. De acuerdo a la Directiva, a estas agencias se les está dando poderes considerables: los gobiernos deben necesariamente consultar al organismo cuando el gobierno redacta legislación vinculada al procesamiento de información personal; los organismos también tienen el poder para conducir investigaciones y tiene derecho a acceder a información relevante para sus investigaciones; imponer reparaciones como el ordenar la destrucción de información o la prohibición de su procesamiento, e iniciar los procedimientos legales, escuchar quejas y emitir informes. El funcionario es también generalmente responsable de la educación del público y de las alianzas internacionales relativas a protección y transferencia de datos. Muchas autoridades también mantienen el registro de controladores de datos y de bases de datos. Estos deben aprobar las licencias para controladores de datos.         

Muchos países que no cuentan con una ley integral todavía tienen un comisionado. Uno de los principales poderes de estos funcionarios es el de dirigir la atención pública en áreas problemáticas, incluso cuando no cuentan con ninguna autoridad para solucionar el problema. Ellos pueden hacer esto a través de la promoción de códigos de práctica y del aliento a asociaciones industriales para adoptarlos. Ellos también pueden utilizar sus informes anuales para señalar problemas. Por ejemplo, en Canadá, el Comisionado Federal de Privacidad anunció en su informe de 2000 la existencia de una amplia base de datos mantenida por el gobierno federal. Una vez que el problema se hizo público, el Ministro desmanteló la base de datos.

En varios países, este funcionario también se ocupa de hacer cumplir la Ley de Libertad de Información de la jurisdicción. Entre estos países se encuentran Hungría, Estonia, Tailandia, Alemania y el Reino Unido. A nivel sub-nacional, muchos de los Comisionados Alemanes de Tierras han recibido recientemente poderes de comisionado de información, y la mayoría de las agencias provinciales de Canadá se ocupan tanto de la protección de datos como de la libertad de información.

Un problema importante en muchas agencias alrededor del mundo es la falta de recursos para conducir adecuadamente la supervisión y la aplicación. Muchos son agobiados con los sistemas de licenciamiento, que utilizan muchos de sus recursos. Otros tienen mucho trabajo atrasado relacionado a quejas o son incapaces de conducir un número importante de investigaciones. Muchos de los que se iniciaron con financiamiento adecuado encuentran que sus presupuestos han sido recortados unos cuantos años después.

La independencia también es un problema. En muchos países, la agencia está bajo el control del brazo político del gobierno o es parte del Ministerio de Justicia y no tiene el poder o el deseo de fomentar la privacidad o de criticar propuestas invasivas de la privacidad. En Japón y en Tailandia, la agencia de supervisión está bajo el control de la Oficina del Primer Ministro. En Tailandia, el director fue transferido en 2000 después de los conflictos con la Oficina del Primer Ministro. En 2001, Eslovenia enmendó su Ley de Protección de Datos con el fin de establecer un autoridad supervisora independiente y de ese modo garantizar el cumplimiento de la Directiva de Protección de Datos. Esta fue anteriormente responsabilidad del Ministro de Justicia.

Finalmente, en algunos países que no cuentan con una oficina separada, el rol de investigación y cumplimiento de las leyes se realiza por parte de un Defensor del Pueblo especializado en derechos humanos o por parte de un parlamentario oficial.

Flujos transfronterizos de datos y paraísos de datos

La facilidad con la que se transmiten los datos electrónicos a través de las fronteras genera la preocupación de que las leyes de protección de datos puedan ser burladas a través de la simple transferencia de información personal a terceros países, donde las leyes de los países de origen no se aplican. Estos datos podrían ser entonces procesados sin limitaciones en esos países, frecuentemente llamados "paraísos de datos."  

Por esta razón, la mayoría de las leyes de protección de datos incluyen restricciones para la transferencia de información a terceros países a menos que la información sea protegida en el país de destino. Por ejemplo, el Artículo 12 de la Convención de 1981 del Consejo de Europa pone restricciones a la transmisión transfronteriza de datos personales.52 De manera similar, el Artículo 25 de la Directiva Europea impone la obligación a los Estados Miembros a garantizar que toda información personal vinculada a ciudadanos europeos este protegida por ley cuando sea exportada, y procesada en países fuera de Europa. Esta disposición establece que:

Los Estados Miembros deben estipular que la transferencia de datos personales a un tercer país que los este procesando o tenga la intención de procesarlos después de transferidos, solo debe realizarse si el tercer país en cuestión asegura un nivel adecuado de protección. 

Este requerimiento ha traído como consecuencia una creciente presión fuera de Europa para la aprobación de enérgicas leyes de protección de datos. Aquellos países que se rehúsan a adoptar significativas leyes de privacidad serán incapaces de conducir cierto tipo de transferencia de información con Europa, particularmente si esta involucra datos sensibles. La resolución sobre el sistema de protección de la privacidad de un tercer país es expedida por la Comisión Europea. El principio dominante en este proceso de determinación es que el nivel de protección en el país receptor debe ser "adecuado" en vez de "equivalente." Por tanto, se espera un alto nivel de protección de parte del tercer país, aunque los dictados precisos de la Directiva no necesitan ser acatados. 

El 26 de julio de 2000, la Comisión Europea dictaminó que Suiza y Hungría proveían una "adecuada" protección a la información personal y por tanto todas las trasferencias de información personal a estos países podría continuar.53 En enero de 2002, la Comisión Europea reconoció que la Ley Canadiense de Protección de Información Personal y Documentos Electrónicos (PIPEDA, en inglés), provee protección adecuada para determinadas transferencias de datos personales desde la Unión Europea a Canadá. La decisión de la Comisión sobre lo adecuado de una legislación no cubre los datos personales que poseen el sector federal o los organismos provinciales o la información en poder de organizaciones personales y utilizadas para propósitos no comerciales, tales como datos en manos de organizaciones de caridad o recolectadas en el contexto de una relación laboral.54 En 2003, la Comisión dictaminó que las leyes de protección de datos de la Argentina eran adecuadas, y lo mismo se dictaminó para las leyes de Guernsey.55 En 2004, la Comisión estimó adecuadas las leyes de protección de datos de la Isla de Man.56 La Comisión está actualmente examinando los esquemas de protección de la privacidad en muchos países que no pertenecen a la Unión Europea, entre ellos Nueva Zelanda, Australia, y China (Hong Kong).

Otra manera posible de proteger la privacidad de la información transferida a países que no proveen una "adecuada protección" es el confiar en un contrato privado que contenga cláusulas contractuales estándar de protección de datos. Este tipo de contratos obligaría al procesador de datos a respetar las prácticas de información justas tales como el derecho a ser avisado, al consentimiento, al acceso y a recursos legales. En el caso de transferencia de datos desde la Unión Europea, el contrato tendría que cumplir con la prueba estándar de "adecuación", con el fin de satisfacer la Directiva de Protección de Datos. Diversos modelos de cláusulas que podrían ser incluidas en tales contratos fueron esbozados en un estudio conjunto del Consejo de Europa, la Comisión Europea y la Cámara Internacional de Comercio. En un informe de junio de 2000 (ver más abajo), el Parlamento Europeo acusó a la Comisión Europea de una "seria omisión" al fracasar en elaborar un borrador de cláusulas contractuales estándar que los ciudadanos europeos podrían invocar en las cortes de terceros países antes de que la Directiva de Datos entrara en vigor.57 Este recomendaba que este se hiciera antes del 30 de septiembre de 2000.58 En julio de 2001, la Comisión publicó una decisión final aprobando la norma de las cláusulas contractuales. Durante el procesamiento del borrador, los Estados Unidos criticó los contratos estándar como "excesivamente gravosos" e "incompatibles con las operaciones en la realidad."59 

La transferencia de registros de viaje, vinculados a ciudadanos europeos, al gobierno de los Estados Unidos generó preocupación particular debido a que todavía no ha habido una determinación acerca de que los Estados Unidos de América proporcionen un nivel “adecuado” de protección de datos. El Consejo de Europa recientemente adoptó un acuerdo entre la Unión europea y los Estados Unidos de América en relación a la transferencia de información de los registros de nombres de pasajeros de todos los viajeros de vuelos que tengan como origen la Unión Europea y que aterricen en los Estados Unidos de América.60 El acuerdo ha sido recibido con duras críticas por parte del Parlamento Europeo.61      

Acuerdo de puerto seguro entre la Unión Europea y los Estados Unidos de América

Aunque la Comisión nunca emitió una opinión formal sobre lo adecuado de la protección de privacidad en los Estados Unidos, hubo serías dudas sobre si el enfoque de privacidad sectorial y de autorregulación de los Estados Unidos pasaría los estándares sobre adecuación fijada por la Directiva. La Unión Europea comisiono a dos eminentes profesores de leyes de los Estados Unidos, quienes escribieron un informe detallado sobre el estado de las protecciones de privacidad en los Estados Unidos de América y señalaron los múltiples vacíos en sus normas de protección.62

Los Estados Unidos de América cabildearon intensamente en la sede de la Unión Europea y en sus países miembros para que estos encontraran adecuado su sistema. En 1998, los Estados Unidos de América empezaron a negociar un acuerdo de "Puerto Seguro" con la Unión Europea con el fin de garantizar la transmisión transfronteriza continua de datos personales. La idea del "Puerto Seguro" fue que las compañías de los Estados Unidos voluntariamente se podrían auto-certificar para adherirse a un conjunto de principios de privacidad elaborados por el Departamento de Comercio de los Estados Unidos y la Junta Directiva de Mercado Interno de la Comisión Europea. Estas compañías contarían entonces con  una presunción de adecuación y podrían continuar recibiendo datos personales desde la Unión Europea. Las negociaciones sobre la elaboración de los principios de Puerto Seguro duraron cerca de dos años y estuvieron sujetas a ácidas críticas por parte de defensores de la privacidad y de los consumidores.63 A inicios de julio, el Parlamento Europeo aprobó una enérgica resolución en la que se señalaba que el acuerdo debía ser renegociado con el fin de proveer una adecuada protección.64

El 26 de julio de 2000, la Comisión aprobó el acuerdo. Sin embargo, la Comisión, prometió reabrir las negociaciones sobre el acuerdo si los recursos disponibles para los ciudadanos europeos resultaban inadecuados. A los Estados Miembros de la Unión Europea se les dio 90 días para poner en vigor la decisión de la Comisión y las compañías de los Estados Unidos empezaron a adherirse al Acuerdo de Puerto Seguro en noviembre de 2000. Existe un periodo de gracia indeterminado para las compañías signatarias de los Estados Unidos para implementar los principios.

Los principios requieren a todas las organizaciones signatarias el proveer a las personas una notificación "clara e inequívoca” del tipo de información que recolectan, el propósito para el cual podría ser utilizado, y cualquier tercero a quien esta información podría ser revelada. Esta notificación debe ser dada al momento de la recolección de cualquier información personal o "posteriormente tan pronto como sea posible." Las personas deben tener la posibilidad de escoger (excluirse) en la recolección de datos cuando la información vaya a ser revelada a un tercero o utilizada para un propósito incompatible. En el caso de información sensible, los individuos deben necesariamente consentir (aceptar) expresamente la recolección. Las organizaciones que deseen transferir datos a terceros pueden hacerlo si el tercero se suscribe al acuerdo de Puerto Seguro o si este tercero firma un acuerdo para proteger los datos. Las organizaciones deben tomar precauciones razonables para proteger la seguridad de la información ante la pérdida, mal uso y acceso no autorizado, revelación, alteración y destrucción. Las organizaciones deben proveer a las personas el acceso a cualquier información personal que estas tengan sobre ellas, con la opción de corregir, enmendar, o borrar dicha información cuando esta sea inexacta. Este derecho solo se otorgará si la carga o el costo de proveer el acceso a la información no sean desproporcionados en relación con los riesgos a la privacidad de la persona o cuando los derechos de otras personas distintas a este no sean violados. En términos de cumplimiento, las organizaciones deben proporcionar necesariamente el acceso a mecanismos de remediación independientes accesibles y con costos razonables que puedan investigar quejas y disponer indemnizaciones de daños. Estos deben necesariamente proporcionar procedimientos de seguimiento del cumplimiento y deben necesariamente cumplir con las sanciones por no acatar los principios.

Los defensores de la privacidad y los grupos de consumidores tanto en Estados Unidos como en Europa son muy críticos con la decisión de la Comisión Europea de aprobar el acuerdo, el cual afirman, no cumplirá con brindar a los ciudadanos europeos la adecuada protección a sus datos personales. El acuerdo descansa en un sistema auto regulatorio por el cual las compañías simplemente prometen no violar sus prácticas de privacidad declaradas. Existe poca labor de verificación de cumplimiento o de evaluación sistemática de su observancia. La categoría de Puerto Seguro se otorga al momento de la auto-certificación. No existe ningún derecho individual al cual recurrir o derecho a compensación en caso de violación de la privacidad. Existe un periodo de gracia indeterminado para las compañías signatarias de los Estados Unidos de América para implementar los principios. El acuerdo solo se aplicará para las compañías supervisadas por la Comisión Federal de Comercio y por el Departamento de Transportes (excluyendo a los sectores financieros y de telecomunicaciones) y existen excepciones especiales otorgadas para la información de registros públicos protegida por la legislación de la Unión Europea.

En febrero de 2002, la Comisión Europea publicó un informe de la operación en la práctica del Acuerdo de Puerto Seguro entre Estados Unidos y la Unión Europea. Este fue el primer informe para evaluar el éxito del acuerdo. Este concluyó que todos los elementos esenciales del acuerdo estaban en orden y que existía una estructura para que los individuos pudieran presentar sus quejas si sentían que sus derechos habían sido violados. Sin embargo, el informe encontró que no había suficiente transparencia entre las organizaciones que se han adherido al Acuerdo de Puerto Seguro y que no todos los habilitados para la resolución de controversias, a cargo de hacer cumplir el Acuerdo de Puerto Seguro, cumplen en realidad con los principios de privacidad establecidos en el mismo acuerdo. Se esperaba que la Comisión publique una evaluación completa del acuerdo en el 2003, pero el informe todavía no ha sido publicado.

En julio de 2002, el Grupo de Trabajo del Artículo 29 sobre Protección de Datos publicó un documento de trabajo sobre el funcionamiento del acuerdo. En este, el Grupo de Trabajo expresó su intención de estudiar el acuerdo en mayor detalle con particular énfasis en los "posibles vacíos entre los principios…y las prácticas de implementación" y también "los requerimientos de transparencia a ser cumplidos por las organizaciones." El Grupo de Trabajo hizo un llamado a todas las autoridades, organizaciones y compañías interesadas a mejorar el cumplimiento y el conocimiento del Acuerdo.65

En junio de 2006, la Comisión inició una investigación sobre la transferencia de datos financieros personales desde el consorcio bancario SWIFT con sede en Bruselas. Ante la solicitud del Departamento del Tesoro de los Estados Unidos de América, SWIFT transmitió sistemáticamente información sobre transacciones financieras de millones de clientes de bancos europeos.66 Al parecer el Departamento del Tesoro de los Estados Unidos de América dirigía periódicamente órdenes judiciales a SWIFT en los Estados Unidos de América. LA Comisión expresó su sorpresa acerca de la exportación de información de ciudadanos belgas a los Estados Unidos de América y su revelación a las autoridades de ese país cada vez que una persona realizaba una transacción de pago internacional.67 La Comisión afirmó que estas prácticas violaban normas fundamentales de la legislación de protección de datos belga y europea. Esta opinión posteriormente fue confirmada por una opinión del Grupo de Trabajo del Artículo 29.

La Comisión recibió una carta del Primer Ministro de Bélgica solicitando consejo sobre un posible acuerdo con los Estados Unidos de América sobre la transferencia de datos SWIFT al Departamento del Tesoro de los Estados Unidos de América. En su segunda opinión la Comisión le recordó al gobierno belga los principios fundamentales con relación a las transferencias de datos personales entre Europa y los Estados Unidos de América y le sugirió una serie de posibles acciones.68 En junio de 2007, el Consejo de Europa y los Estados Unidos de América alcanzaron un acuerdo sobre la transferencia de información financiera personal desde la sede del SWIFT hacia los Estados Unidos de América.69 La SWIFT se unió al Acuerdo de Puerto Seguro.70

Footnotes

  • 1. Marc Rotenberg, Protecting Human Dignity in the Digital Age (UNESCO 2000).
  • 2. James Michael, Privacy and Human Rights 1 (UNESCO 1994).
  • 3. Simon Davies, Big Brother: Britain's Web of Surveillance and the New Technological Order 23 (Pan 1996).
  • 4. Volio, Fernando, "Legal Personality, Privacy and the Family" in Henkin (ed), The International Bill of Rights (Columbia University Press 1981).
  • 5. Samuel Warren and Louis Brandeis, The Right to Privacy, 4 Harvard Law Review 193-220 (1890).
  • 6. Robert Ellis Smith, Ben Franklin's Web Site 6 (Sheridan Books 2000).
  • 7. Privacy as an Aspect of Human Dignity, 39 New York University Law Review 971 (1964).
  • 8. Privacy and the Limits of Law, 89 Yale Law Journal 421, 428 (1980).
  • 9. Report of the Committee on Privacy and Related Matters, Chairman David Calcutt QC, 1990, Cmnd. 1102, London: HMSO, página 7.
  • 10. "The Australian Privacy Charter," published by the Australian Privacy Charter Group, Law School, University of New South Wales, Sydney (1994).
  • 11. an-Noor 24:27-28 (Yusufali); al-Hujraat 49:11-12 (Yusufali).
  • 12. Volume 1, Book 10, Number 509 (Sahih Bukhari); Book 020, Number 4727 (Sahih Muslim); Book 31, Number 4003 (Sunan Abu Dawud).
  • 13. Richard Hixson, Privacy in a Public Society: Human Rights in Conflict 3 (1987). See also, Barrington Moore, Privacy: Studies in Social and Cultural History (1984).
  • 14. Vea Jeffrey Rosen, The Unwanted Gaze (Random House 2000).
  • 15. Id. página 5.
  • 16. James Michael, supra, at 15. Justices of the Peace Act, 1361 (Eng.), 34 Edw. 3, c. 1.
  • 17. Entick contra Carrington, 1558-1774 All E.R. Rep. 45.
  • 18. Speech on the Excise Bill, 1763.
  • 19. The Rachel affaire. Judgment of June 16, 1858, Trib. pr. inst. de la Seine, 1858 D.P. III 62. See Jeanne M. Hauch, Protecting Private Facts in France: The Warren & Brandeis Tort is Alive and Well and Flourishing in Paris, 68 Tulane Law Review 1219 (Mayo 1994).
  • 20. Warren and Brandeis, supra.
  • 21. Declaración Universal de los Derechos Humanos, adoptada y proclamada por la Resolución 217 A (III) de la Asamblea General enl 10 de diciembre de 1948, disponible en <http://www.un.org/es/documents/udhr/>.
  • 22. Vea en general, Marc Rotenberg, ed., The Privacy Law Sourcebook: United States Law, International Law and Recent Developments (EPIC 2003).
  • 23. Pacto Internacional de Derechos Civiles y Políticos, adoptado y abierto para firmas, ratificación y adhesión por Resolución 2200A (XXI) de la Asamblea General el 16 de diciembre de 1966, entrada en vigor el 23 de marzo de 1976, disponible en http://www2.ohchr.org/spanish/law/ccpr.htm.
  • 24. Convención Internacional sobre la protección de los derechos de todos los trabajadores migratorios y de sus familias, aprobada por la Asamblea General por Resolución 45/158 del 18 de diciembre de 1990, disponible en http://www.unhcr.org/cgi-bin/texis/vtx/refworld/rwmain/opendocpdf.pdf?re....
  • 25. Convención de los Derechos del Niño, adoptada y abierta a la firma, ratificación e incorporación por la Asamblea General por Resolución 44/25 del 20 de noviembre de 1989, entrada en vigor 2 de septiembre de 1990,disponible en http://www2.ohchr.org/spanish/law/crc.htm
  • 26. Vea en general, Lee Bygrave, Data Protection Pursuant to the Right of Privacy in Human Rights Treaties, 6 International Journal of Law and Information Technology 247-284 (1998), disponible en http://folk.uio.no/lee/oldpage/articles/Human_rights.pdf.
  • 27. Consejo de Europa, Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales, (ETS No: 005) abierto para firma el 4 de noviembre de 1950, entrada en vigor el 3 de septiembre de 1950, disponible en http://www.echr.coe.int/NR/rdonlyres/1101E77A-C8E1-493F-809D-800CBD20E59....
  • 28. Nadine Strossen, Recent United States and International Judicial Protection of Individual Rights: A Coparative Legal Process Analysis and Proposed Synthesis, 41 Hastings Law Journal 805 (1990).
  • 29. X contra Iceland, 5 Eur. Comm'n H.R. 86.87 (1976).
  • 30. European Court of Human Rights, Case of Klass and Others: Judgement of 6 September 1978, Series A No. 28 (1979). Malone v. Commissioner of Police, 2 All E.R. 620 (1979). See Note, Secret Surveillance and the European Convention on Human Rights, 33 Stanford Law Review 1113, 1122 (1981).
  • 31. Judgement of 26 March 1987 (Leander Case).
  • 32. Id. páginas 848-49.
  • 33. Suscrita el 22 de noviembre de 1959 entró en vigor el 18 de Julio de 1978, O.A.S. Treaty Series No.
  • 34. O.E.A. Res XXX, adoptada por la Novena Conferencia de Estados Americanos, 1948 OEA/Ser/. L./V/I.4 Rev (1965).
  • 35. Un excelente análisis de estas leyes se encuentra en David Flaherty, Protecting Privacy in Surveillance Societies (University of North Carolina Press 1989).
  • 36. ETS No. 108, Estrasburgo, 1981, disponible en https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_e....
  • 37. OECD, Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data" (1981), disponible en http://www.oecd.org/document/18/0,3343,en_2649_201185_1815186_1_1_1_1,00....
  • 38. Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 realtiva a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre ciruculación de estos datos, disponible en http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_pa....
  • 39. Directiva 97/66/CE del Parlamento Europeo y del Consejo del 15 de Diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (Directiva), disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:024:0001....
  • 40. Jelle van Buuren, "Telecommunication Council Wants New Investigation Into Privacy Rules," Heise Online, 17 de octubre de 2001.
  • 41. Respectivamente, los Miembros del Parlamento Europeo Ana Palacio Vallelersundi y Elena Paciotti, miembros del PPE (Partido Popular Europeo/Democratacristianos) y PSE (Socialdemócratas) partidos políticos.
  • 42. Directiva 2002/58/CE del Parlamento Europeo y del Consejo del 12 de Julio de 2002relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre privacidad y comunicaciones electrónicas), disponible en  http://www.eurowind.net/Sitio2004/LOPD/Descargas/Directiva-2002-58-CE.pdf.
  • 43. Directiva 2006/24/CE del Parlamento Europeo y del Consejo del 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la directiva 2002/58/CE, disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054....
  • 44. Para información sobre APEC y sus 21 economías miembros vea la página web de la Secretaría de APEC http://www.apec.org/About-Us/APEC-Secretariat.aspx.
  • 45. OECD, Paris, 1980 http://www.oecd.org/home/0,2987,en_2649_201185_1_1_1_1_1,00.html.
  • 46. Vea la serie de articulos de Graham Greenleaf en http://www.bakercyberlawcentre.org/appcc/ los cuales rastrean estas críticas a través de sucesivas versiones de los principios de la APEC
  • 47. El APPCC es un grupo regional experto formado en el 2003 para desarrollar normas independientes para la protección de la privacidad en la región Asia-Pacífico, con el fin de influir en la aprobación de leyes de privacidad y de acuerdos internacionales en la región en concordancia con dichas normas. Vea http://www.bakercyberlawcentre.org/appcc/.
  • 48. Vea http://www.privacy.org.au/Papers/APEC0403.html (APF) y http://www.bakercyberlawcentre.org/appcc/ (APPCC).
  • 49. Las categorías de "excepciones nacionales" no están rigurosamente fijadas, y deben al menos ser identificadas en términos generales; existe controles ineficaces sobre el alcance particular de todas las "excepciones nacionales;" una notificación a ser distribuida a los individuos de quines se recolecta información no se solicita claramente; la recolección no esta limitada al mínimo de información necesaria para el propósito; los usos secundarios están permitidos por propósito "compatibles," un argumento poco convincente; la elevación de una "opción" (o consentimiento) a un Principio distinto facilita la transformación de la privacidad en una mercancía; las razones de "marca registrada comercial" no deben ser una excepción para el acceso y la corrección; la "Maximización de Beneficios" no debe volverse un Principio; la Especificación de los Principios de Propósito de la OECD, la Apertura y la Limitación de la Exportación de Datos faltan y su contenido debe ser restablecido; al menos un Principio de Supresión adicional debe añadirse para un grupo mínimo de Principios.
  • 50. La implementación nacional por ley no se requiere, con economías a las que se les permite escoger que opciones de implementación son suficientes para dar efecto al fundamento de los Principios. No existe una identificación de las circunstancias en las cuales las restricciones de la exportación de datos personales pueden ser legítimas (contra OECD). El método más enérgico de evaluación de la no conformidad nacional en consideración es "la auto evaluación de las economías asociada con la evaluación entre pares."
  • 51. Dataprotectionreview.eu, “Spanish Data Protection Agency: Representatives of different institutions establish guidelines for the regulation of data protection in Iberoamerica,” 25 de junio de 2007, http://www.dataprotectionreview.eu/.
  • 52. Consejo de Europa, Convención para la Protección de Individuos con relación al Procesamiento Automático de Datos Personales 1981, disponible en http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm.
  • 53. VeaEuropean Comission Press Release, "Data protection: commission adopts decisions recognizing adequacy of regimes in United States, Switzerland and Hungary," 27 de Julio de 2000.
  • 54. Decisión de la Comisión del 20 de diciembre de 2001, Diario Oficial de las Comunidades Europeas L 2/13, disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:002:0013....
  • 55. Decisión de la Comisión C(2003) 1731 del 30 de junio de 2003 - OJ L 168, 5.7.2003, disponible en http://ec.europa.eu/justice/policies/privacy/docs/adequacy/decision-c200... Decisión de la Comisión del 21 de noviembre de 2003 relativa a la carácter adecuado de la protección de los datos personales en Guernsey - OJ L 308, 25.11.2003, disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:308:0027....
  • 56. Decisión de la Comisión 2004/411/CE del 28 de abril de 2004 relativa al carácter adecuado de la protección de los datos personales en la Isla de Man página 48, disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:151:0052....
  • 57. Resolución del Parlamento Europeo sobre el Borrador de la Decisión de la Comisión sobre la Adecuación de la Protección Prevista por los Principios de Privacidad de Puerto Seguro y las Preguntas más Comunes relacionadas, publicado por el Departamento de Comercio de los Estados Unidos, disponible en  http://epic.org/privacy/intl/EP_SH_resolution_0700.html.
  • 58. Para una guía general sobre el rol de los contratos reviseel Grupo de Trabajo sobre Protección de Datos del Artículo 29 de la Unión Europea, "Transferencia de datos personales a terceros países: Aplicación de los Artículos 25 y 26 de la directiva sobre protección de datos de la Unión Europea," 24 de julio de 1998, disponible en  http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_es.pdf
  • 59. "Bush Administration Criticizes European Union Privacy Rules," EPIC Alert 8.06, 29 de marzo de 2001 http://www.epic.org/alert/EPIC_Alert_8.06.html.
  • 60. Decisión 2007/551/PESC/JAI del Consejo de 23 de Julio de 2007 relativa a la firma en nombre de la Unión Europea, de un Acuerdo entre la Unión Europea y los estados unidos de América sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados unidos (Acuerdo PNR 2007), disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016.... Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de datos del registro de los pasajeros (PNR) por las compañías aéreas al Departamento de Seguridad del Territorio Nacional de los Estados Unidos (Acuerdo PNR). Disponible en http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0018.... Un acuerdo de 2004 sobre la misma material fue declarado inválido por el Tribunal DE Justicia Europeo en 2006. VeaParlamento contra Concejo, C-317/04 and C-318/04
  • 61. Resolución conjunta sobre el Acuerdo PNR con los Estados Unidos de América. 10 de julio de 2007, disponible en http://quintessenz.org/doqs/000100003894/2007_07_11_EU-parl_PNR_joint%20....
  • 62. Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law (Michie 1996).
  • 63. Vea p.ej., los Comentarios Públicos Recibidos por del Departamento de Comercio de los Estado Unidos en Respuesta a los Documentos de Puerto Seguro 5 de abril de 2000. Disponible en http://www.ita.doc.gov/td/ecom/Comments400/publiccomments0400.html.
  • 64. Resolución del Parlamento Europeo, supra.
  • 65. “Proyecto de documento de trabajo sobre funcionamiento del acuerdo de puerto seguro”, Grupo de Trabajo sobre Protección de Datos del Artículo 29, 11194/02/Es, 2 de julio de 2002.Disponible en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_es.pdf.
  • 66. ://www.privacycommission.be/fr/docs/Commission/2006/avis_37_2006.pdf. (en francés)
  • 67. ://www.privacycommission.be/fr/docs/Commission/2006/avis_37_2006.pdf. (en francés)
  • 68. Opinión Nº 47/2006 del 20 de diciembre de 2006, disponible en http://www.privacycommission.be/fr/docs/Commission/2006/avis_47_2006.pdf. (en francés)
  • 69. Tratamiento y protección de datos personales exigidos por el Departamento del Tesoro dela sede de operaciones en Estados Unidos de América de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) 28 de junio de 2007, disponible en http://epic.org/privacy/pdf/swift-agmt-2007.pdf.
  • 70. “SWIFT finaliza mejoras de transparencia y consigue adscribirse a Safe Harbor,” 20 de Julio de 2007, disponible en http://www.swift.com/about_swift/legal/compliance/statements_on_complian....