Foro: Revista de Derecho

De la seguridad cibernética a la resiliencia cibernética aplicada a la protección de datos personales

RESUMEN Las tecnologías de la información y comunicación nos permiten vivir en una sociedad en red, sin embargo, existen varios riesgos de la hiperconectividad, tales como la seguridad de la información, y parte de esta son los datos personales. Este reto se afrontó desde la visión de la seguridad cibernética, que protege el proceso de tratamiento de la información y la seguridad de los sistemas de información; no obstante, una vez vulnerado, los recientes ataques a las redes de información públicas y privadas han demostrado la ineficiência de la seguridad cibernética. Por esto el Foro Económico Mundial publicó en 2017 los principios de resiliencia cibernética avanzada, que constituyen un cambio en la visión de la seguridad cibernética a la resiliencia cibernética, indicando que la seguridad debe ser preventiva, siendo sus objetivos principales: orientar la gobernanza de la información desde el órgano de gobierno, y garantizar la veracidad e integridad de los datos personales, siendo delimitados por principios legales que permiten la protección de los mismos y el cumplimiento del Derecho a la protección de datos personales y la vida privada.

ABSTRACT Information and communication technologies allows us to live in a network society, however there are several risks of a hyperconectivity, one of them is the safety of the information; some of these information is personal data. This challenge was assumed by the cyber security vision, which protects the treatment of information and information security systems once is violated, however the recent attacks on public and private information systems, have shown the inefficiency of cyber security, this is why the World Economic Forum published in 2017 Advancing cyber resilience principles and tools for boards, that has changed the vision from cyber security to cyber resilience, indicating that security must be preventive, which main objectives are to guide the governance of the information from the executive body or boards of directors, guarantee the accuracy and integrity of the personal data, and to achieve these, institutions must apply legal principles that allow protection and the fulfilment of data protection and private life rights

Reflexiones jurídicas sobre la protección de datos y el derecho a la intimidad en la autodeterminación informativa

RESUMEN La investigación tiene por objeto establecer consideraciones jurídicas sobre el derecho a la intimidad y su vínculo con la protección de datos, para llegar a determinar la importancia de constituir políticas públicas y acciones legislativas que generen un equilibrio ponderativo de derechos y una consolidación de elementos básicos de protección de la información. El análisis inicia con una introducción breve respecto al derecho a la intimidad y aquellos derechos relacionados a ella, para posteriormente tratar el supuesto carácter absoluto del derecho fundamental de la intimidad, y proceder a analizar los elementos constitutivos de dicho derecho, haciendo énfasis en la etapa de transferencia de información que tiene que ver con el control y la consecuente entrega de datos a un tercero. Finalmente, el análisis se centra en el estudio de la relevancia de la autorización o consentimiento válido, y en determinar el nexo causal de la violación del derecho a la protección de datos personales en el derecho a la intimidad por las nuevas tecnologías.

ABSTRACT The investigation has the objective to establish the legal aspects regarding the right to privacy and its connection with data protection, in order to determine the importance of building public policies and legislative actions that can generate a ponderous balance of rights and a consolidation of basic elements of data protection. The analysis begins with a brief introduction regarding the right to privacy and other related rights, and afterwards attends the supposed absolute character of the fundamental right to privacy. In the next part, the constitutive elements will be developed, making emphasis on the phase of transference of information established in regard to the control of information and delivered to a third party. Finally, the analysis focuses in the study of the relevance of the authorization or valid con sent, and in determining the link to the violation of the right to personal data protection and the consequent infringement of personal data by new technologies.

Paradigmas de la protección de datos personales en Ecuador. Análisis del proyecto de Ley Orgánica de Protección a los Derechos a la Intimidad y Privacidad sobre los Datos Personales

RESUMEN Ecuador necesita contar de urgencia con una ley de protección de datos personales que regule la manera como las instituciones nacionales y extranjeras tratan, procesan, conservan, y explotan comercialmente los datos personales de las personas naturales en Ecuador. Nuestro país debe cumplir con estándares mínimos, para llegar a ser considerado como un país confiable para la transferencia de datos personales, lo cual permitiría el surgimiento de empresas ecuatorianas transnacionales en internet, con el objeto de que puedan realizar el tratamiento de datos personales de ciudadanos de todo el mundo. Este artículo tiene la finalidad de analizar las falencias jurídicas del proyecto de Ley Orgánica de Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales con el fin de corregirlas, y proponer el desarrollo de una ley de protección de datos personales que esté sincronizada con la legislación de otros países, y la realidad técnica de las tecnologías de la información.

ABSTRACT Ecuador urgently needs to create a data protection law to protect the rights of natural persons in relation to the processing, conservation, and explotation of their personal data by public and private institutions. Our country is required to comply with minimum standards in order to be considered as a trusted country for personal data transfers, allowing the emergence of transnational Ecuadorian enterprises treating personal data of foreign citizens from worldwide on Internet. This article aims to analyze some misconceptions of the project named Ley Orgánica de Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales with the purpose of recommend some corrections. Furthermore, this article proposes the creation of a data protection act which is synchronized with other countries laws, and the technical reality of information technologies.

El dato personal como presupuesto del derecho a la protección de datos personales y del hábeas data en Ecuador

RESUMEN El número 19 del artículo 66 de la Constitución de la República del Ecuador (CRE) señala como presupuesto del derecho a la protección de datos personales tanto al dato como a la información de un individuo. Sin embargo, la jurisprudencia ecuatoriana requiere para su procedencia que estos tengan un carácter informativo. Asimismo, el artículo 92 de la CRE referente al hábeas data señala como supuestos de protección a los documentos, datos genéticos, bancos o archivos de datos personales e informes sobre sí misma, o sobre sus bienes. Estos criterios lejos ser abarcadores, pueden no respetar los componentes del derecho a la protección de datos personales y, por el contrario, causar confusión e incluso no ser pertinentes para garantizar la tutela del derecho a la protección de datos personales.

ABSTRACT The Ecuadorian Constitution on its Article 66 - numeral 19 recognizes the datum itself and the personal information as objects of the right to protection of personal data. However, to acknowledge that protection, the Ecuadorian jurisprudence requires the data to have an informative purpose. Likewise, while Article 92 of the Ecuadorian Constitution recognizes documents, genetic data, banking information, personal data files and information about goods as elements to be protected by habeas data; that list of elements may not be enough to explain the spirit of the right to protection of personal data and may cause confusion or even not be effective to guarantee the right.

La protección de datos personales en los estados que conforman la Comunidad Andina: estudio comparado y precisiones para un modelo interamericano de integración

RESUMEN En las últimas décadas del siglo XX se ha reconocido la existencia de un derecho fundamental a la protección de datos personales, tanto en los tratados y acuerdos internacionales como en las Constituciones de distintos países, lo que se ha traducido en un desarrollo legislativo de este derecho fundamental tendiente a regular el tratamiento de la información personal tanto en el ámbito público como privado. En el caso de Ecuador, el surgimiento del derecho a la autodeterminación informativa se enmarca en los principios consagrados dentro de la teoría del neo-constitucionalismo andino, enmarcados fundamentalmente en la democracia participativa y en la constitucionalización de nuevos derechos fundamentales. Esta investigación está orientada a estudiar -en el contexto de la Comunidad Andina-los precedentes constitucionales, jurisprudenciales y doctrinarios que enmarcan el origen y desarrollo de este derecho fundamental. A partir de la experiencia europea, este análisis pretende promover un modelo interamericano de integración para una regulación equilibrada respecto al tratamiento de los datos personal.

ABSTRACT During the 20th century and especially in the last decades there has been an important recognition of the personal data protection as a fundamental right, both in the International Treaties and Agreements and in the Constitutions of different countries. This has resulted in a legislative development of fundamental rights in order to regulate the treatment of personal information both in public and private sector. In Ecuador, the emergence of the right to informational self-determination is framed within the principles preserved in the Andean Neo Constitutionalism stated in participatory democracy and in the Constitutionalism of new fundamental rights, fundamentally. This research is aimed at studying -in the context of the Andean Community- the constitutional, jurisprudential and doctrinal precedents that frame the origin and development of this fundamental right. Based on the European experience, this analysis aims to initiate an Interamerican Model of Integration for a balanced regulation respect to the processing of the personal data.

El Reglamento Europeo (UE) 2016/679: análisis de un claroscuro

RESUMEN La Directiva 95/46/CE del 24 de octubre de 1995 fue el primer instrumento jurídico para la regulación de la protección de datos en la Unión Europea. Esta Directiva será sustituida por el Reglamento (UE) 2016/679, a partir del 28 de mayo de 2018. Este artículo aborda de manera crítica el nuevo Reglamento Europeo, se presentan sus objetivos, y se destaca la importancia de crear un Reglamento en lugar de una nueva Directiva sobre protección de datos personales. Además, se describe el fortalecimiento de la protección de datos personales en la Unión Europea, al tenor de los desafíos tecnológicos de la actualidad. Sin embargo, varios analistas consideran que el nuevo Reglamento genera dudas por cuanto pretende beneficiar a los responsables del tratamiento de datos a través de la aplicación de una metodología de análisis de riesgos. Este doble enfoque genera muchas incertidumbres jurídicas que se discuten a lo largo del texto.

ABSTRACT The Directive 95/46/CE from October 24th 1995 was the first legal instrument for the regulation of data protection in the European Union. This directive will be replaced by the Regulation (UE) 2016/679, from May 28th 2018. This paper abords in critical way this new European Regulation, presents its purposes, and the importance of creating a Regulation instead of a new data protection directive. Furthermore, this paper describes the strenghtening of european data protection law in relation to the challenges of today's technology. Nevertheless, some analysts consider that the new Regulation generates many doubts because it aims to benefit data controllers by establishing a risk based approach. This double perspective creates many ambiguities that are discussed along the contents of this paper.

Protección de datos personales y derecho al olvido. Análisis del caso Perú vs. Google

RESUMEN El presente artículo está orientado al análisis del recurso de reconsideración planteado por el recurrente (Google Perú SRL) en el caso Perú vs. Google, por cuanto el reclamante denuncia la no cancelación de datos personales, respecto a un sobreseimiento, que afecta su imagen pública, en contra de Google Perú SRL, cuando este último no efectúa actividad alguna que tenga relación con la indexación de información en los motores de búsqueda, ya que dicha labor es de responsabilidad de Google Inc. domiciliada en EE. UU., a la cual no le llega notificación legal alguna, dejándola en estado de indefensión. En este ámbito, también se refiere a la resolución sancionatoria, que, si bien considera los derechos ARCO respecto al titular de la acción, no toma en cuenta el derecho a la defensa del recurrente y la libertad de expresión.

ABSTRACT The main objective of this article is aimed at analyzing the appeal of reconsideration raised by the appellant (Google Peru SRL) in the case of Peru vs. Google, reason why the complainant denounces the non-cancellation of personal data, which affect its public image against Google Perú SRL, when the latter does not carry out the activity that has to do with the indexing of information in search engines, since that is the work of Google Inc. resident at EE. UU. To which no legal notice arrives, leaving it in a state of defenselessness. In this area, it also refers to the sanctioning resolution while considering ARCO rights with respect to the owner of the action, does not take into account the right to defend the recurrence and freedom of expression.

El derecho al olvido en la era digital. El caso de Google en España y El Tiempo en Colombia

RESUMEN La Corte Europea de Justicia en el caso Google v. España permitió que los datos personales, publicados por terceros, sean borrados de los índices de los buscadores cuando la información sea irrelevante, aunque esta no sea perjudicial e incluso a pesar de haber sido recogida de forma lícita. En el caso Gloria v. El Tiempo, la Corte Constitucional Colombiana, en cambio, llegó a una solución diferente aunque los hechos eran similares a los de Google España. Aquí se argumentará por la importancia de reconocer el derecho al olvido siempre que: i) la difusión de los datos personales sea perjudicial para el individuo, y ii) siempre que la información (o el sujeto) de los datos personales no sean de interés público. La inexistencia de este derecho puede congelar expresiones democráticas de los usuarios de internet y contribuye a la asimetría de poder que existe entre los individuos y los procesadores de información.

ABSTRACT In the Google v. Spain case, the European Court of Justice allowed the deletion of personal data, published by third parties, from Internet search engines. Accordingly, personal data can be erased whenever the information is irrelevant -even if it is not harmful, although it is true and even if it has been legally obtained. In contrast, in the case Gloria v. El Tiempo, the Colombian Constitutional Court reached a different solution although the facts where similar to the Google Spain case. I will argue for the importance of recognizing the right to be forgotten whenever (i) the dissemination of personal data is harmful to the individual and (ii) as long as the the personal data is not of public interest. The non-existence of this right can chill democratic expressions on the Internet, and it might contribute to the asymmetry of power that exists between individuals and controllers or processors of information.