El dato personal como presupuesto del derecho a la protección de datos personales y del hábeas data en Ecuador

Naranjo Godoy, Lorena; Naranjo Godoy, Lorena

Services on Demand

Journal

Article

Indicators

Cited by SciELO
Access statistics

Foro: Revista de Derecho

On-line version ISSN 2631-2484Print version ISSN 1390-2466

Foro n.27 Quito Jan./Jun. 2017

Tema central

El dato personal como presupuesto del derecho a la protección de datos personales y del hábeas data en Ecuador

Lorena Naranjo Godoy^*

^{^*} Directora de la Escuela de Derecho de la Universidad de las Américas, Ecuador (UDLA).

RESUMEN

El número 19 del artículo 66 de la Constitución de la República del Ecuador (CRE) señala como presupuesto del derecho a la protección de datos personales tanto al dato como a la información de un individuo. Sin embargo, la jurisprudencia ecuatoriana requiere para su procedencia que estos tengan un carácter informativo. Asimismo, el artículo 92 de la CRE referente al hábeas data señala como supuestos de protección a los documentos, datos genéticos, bancos o archivos de datos personales e informes sobre sí misma, o sobre sus bienes. Estos criterios lejos ser abarcadores, pueden no respetar los componentes del derecho a la protección de datos personales y, por el contrario, causar confusión e incluso no ser pertinentes para garantizar la tutela del derecho a la protección de datos personales.

PALABRAS CLAVE: protección de datos personales; hábeas data; dato personal; información personal

ABSTRACT

The Ecuadorian Constitution on its Article 66 - numeral 19 recognizes the datum itself and the personal information as objects of the right to protection of personal data. However, to acknowledge that protection, the Ecuadorian jurisprudence requires the data to have an informative purpose. Likewise, while Article 92 of the Ecuadorian Constitution recognizes documents, genetic data, banking information, personal data files and information about goods as elements to be protected by habeas data; that list of elements may not be enough to explain the spirit of the right to protection of personal data and may cause confusion or even not be effective to guarantee the right.

KEYWORDS: protection of personal data; hábeas data; personal datum; personal information

INTRODUCCIÓN

El vertiginoso avance de las tecnologías de la información y la comunicación provocan en las sociedades nuevas formas de transgresión de derechos fundamentales. Por lo tanto, es indispensable avanzar con precisión y celeridad en la configuración de nuevos derechos y en el reconocimiento de distintos e innovadores contenidos o enfoques de aquellos existentes. Pero además es necesario que las garantías constitucionales y legales que los tutelan vayan acoplándose a estas nuevas prerrogativas o a sus nuevos dimensionamientos, de tal manera que, paulatinamente, pueda perfeccionarse un adecuado sistema de amparo.

El objetivo de este artículo es estudiar el alcance y las dimensiones o limitaciones de los datos o información de carácter personal como presupuestos de uno de los derechos más importantes de la era digital, el denominado protección de datos personales.

En el caso de Ecuador, su reconocimiento se produce a través del número 19 del artículo 66 de la Constitución de la República, aunque las primeras formas aproximadas de resguardo se originaron con la inclusión del hábeas data en las reformas de 1996 a la Constitución de 1978.

Mediante el análisis exegético la normativa constitucional -ya que no existe una ley específica que aclare esta cuestión- y de la revisión de la interpretación jurisprudencial, se examinará si la forma en la que se han contemplado estos presupuestos faculta la efectiva vigencia de este derecho fundamental. Además, verificar la procedencia de la garantía constitucional del hábeas data como mecanismos constitucional que viabilice su ejercicio.

Asimismo, se identificará si los criterios de garantía descritos en la acción de hábeas data y que constan en el artículo 92 de la CRE son pertinentes para proteger este derecho o deben adaptarse a su naturaleza. Para aclarar esta temática se vuelve indispensable analizar los conceptos de: datos e información de carácter personal, para luego contrastarlos, asimilarlos, integrarlos o excluirlos de aquellos descritos en el mencionado artículo 92 de la CRE como: documentos, datos genéticos, bancos o archivos de datos personales e informes sobre sí misma, o sobre sus bienes.

Para cumplir con las finalidades planteadas se propone una estructura en la que se aborde la naturaleza jurídica del dato personal como presupuesto del derecho a la protección de datos personales en la doctrina y el derecho comparado, para lo cual se revisarán los orígenes y antecedentes del derecho. Posteriormente se revisará el reconocimiento del derecho y sus componentes en la normativa y jurisprudencia constitucional ecuatoriana. Finalmente, se analizarán los términos: documentos, datos genéticos, bancos o archivos de datos personales e informes, en la garantía constitucional de hábeas data; para concluir que existen divergencias entre la doctrina, la legislación comparada, la legislación nacional y la posición adoptada por la jurisprudencia constitucional del Ecuador, que, aunque no es vinculante, podría limitar el ejercicio del derecho en cuestión.

ANTECEDENTES DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES

La necesidad de proteger todos los datos relativos a las personas no es algo anecdótico, pues ellos representan el registro de su vida, reflejan sus características, sus opciones vitales, sus debilidades. El tratamiento adecuado de los datos personales es una exigencia de la dignidad de la persona y del libre desarrollo de la personalidad, algo especialmente necesario en la etapa de desarrollo de la personalidad, de formación del carácter y de los valores personales. El conocimiento por parte de otros de una información que una persona no ha querido revelar afecta seriamente a la forma en que esta se desenvuelve normalmente en la sociedad, la manera en que es vista por sus familias, por sus vecinos, o por sus compañeros de trabajo.^¹

Los avances tecnológicos han permitido su difusión masiva, situación que pone en riesgo a las personas y aumenta exponencialmente los daños a sus derechos fundamentales.

Tiene su evidente nacimiento en un mundo tecnificado y globalizado, en el que la ingente generación de sistemas, procesos de decisión, así como a través de tratamientos sencillos, de procesos automatizados o incluso de minería de datos,^² pueden otorgar perfiles de personalidad que pueden usarse para provocar transgresiones no solo a la privacidad sino a otros derechos fundamentales.

El derecho a la protección de datos personales tiene su origen en la intimidad, del que se separa gradualmente hasta que se reconoce su autonomía a través de la jurisprudencia y posteriormente de la incorporación de normativa constitucional, legal e incluso reglamentaria. Inicialmente, por su antecedente inmediato se atendía únicamente datos considerados íntimos, o aquellos que tenían un nivel adicional de protección, los denominados datos sensibles, que "permitan identificar a la persona, confeccionando su perfil ideológico, racial, sexual, económico, o de cualquier otra índole".^³

Posteriormente, también se resguardaron aquellos datos personales considerados irrelevantes, ya sean estos pasados, presentes e incluso futuros, ya que a través de su recopilación, almacenaje y tratamiento paulatino, pueden asociarse para entregar perfiles completos de las personas.

Por lo tanto, no importa si los datos parecieran a priori irrelevantes, pueden servir para una finalidad diferente y, por lo tanto, proporcionan claves insospechadas sobre la persona... La teoría del mosaico pone de relieve como datos aparentemente inocuos pueden aportar una información preciosa a la hora de elaborar un determinado perfil personal. Por tanto, todos aquellos datos referentes a la persona merecen la protección que otorga la Ley.^⁴

En cualquier caso, no se protegen los datos en sí mismos, sino a los titulares de esos datos. El objeto de resguardo es la autodeterminación informativa, que consiste en la libertad de un titular respecto de cómo disponer de sus datos personales, cualquiera sea la naturaleza de estos, es decir, no solo aquellos referidos al ámbito de su intimidad o privacidad, sino incluso los aparentemente inocuos, con miras a desarrollar un proceso de autoconstrucción de su personalidad en sociedad, y replicar las consecuencias indeseadas de valoraciones no deseadas, no autorizadas, equivocadas o inexactas.

En consecuencia, debe atribuirse mayores niveles y garantías de protección a los datos personales, "es conveniente insistir en que la protección de datos personales es también un instituto de garantía de otros derechos fundamentales",^⁵ ya que la influencia y repercusión de la recopilación, tratamiento y difusión de los datos personales afectan directamente el ejercicio de las libertades individuales en una sociedad en la que lo virtual y lo real se interrelacionan constantemente.

NATURALEZA JURÍDICA DEL DATO PERSONAL COMO PRESUPUESTO GENERALIZADO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES

Una vez determinado que el derecho a la protección de datos personales protege no solo al dato íntimo, sino también el inocuo, es necesario establecer la naturaleza jurídica del dato y de la información personal, para lo cual se recurrirá como referente inmediato a la Unión Europea, con énfasis en España, por ser su Corte Constitucional y su Agencia de Protección de Datos Personales^⁶ líder en los principales avances en el contenido esencial y eficacia real de este derecho.

CONCEPTO DE DATOS DE CARÁCTER PERSONAL

La Directiva 95/46/CE en su artículo 2 relativo a las Definiciones señala que: "A efectos de la presente Directiva, se entenderá por: a) 'datos personales': toda información sobre una persona física identificada o identificable".^⁷ El artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal española, que es manifestación de la Directiva Europea señala idéntica definición de datos de carácter personal.

Asimismo, la letra f) del artículo 5 del Reglamento de desarrollo de la Ley Orgánica 15/1999, al determinar las definiciones aplicables dice que: "Definiciones. 1. A los efectos previstos en este reglamento, se entenderá por: f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables".^⁸

Las normas que regulan el derecho en cuestión conceptualizan al dato como información. Si bien originalmente se consideraba que solo ameritaba protección la información y no el dato, ya que "la información hace referencia, pues, a datos estructurados y seleccionados para un usuario, una situación, un momento y un lugar. Mientras no sean evaluados o aplicados a un problema específico, los datos seguirán siendo solo datos, es decir, símbolos con poco o ninguna significado".^⁹ Es decir, se consideraba que el dato "no explica el porqué de las cosas y en sí mismo no significa nada [mientras que] la información es el significado que una persona le asigna a un dato".^¹⁰

Sin embargo, esta visión se encuentra superada pues se protege al dato porque de él se extrae información. En consecuencia, este derecho resguarda toda posible vulneración que puede producirse no solo respecto de la información de un individuo sino de sus datos o incluso de fragmentos de estos, pues a través de procesos de tratamiento pueden delinearse perfiles de un individuo. Es decir, se protege al dato por la sola posibilidad de que pueda llegar a tener una significación, es decir convertirse en información.

Las normas citadas utilizan la frase cualquier, o la generalización todo, señalando que no queda por fuera del ámbito de protección ningún tipo de dato ni de soporte sea este físico o virtual.

Por lo tanto, podemos señalar que se considera dato personal a toda información numérica, alfabética, también imágenes (gráfica y fotográfica), acústica (sonidos y voces) o cualquier otro de tipo de información con las condiciones de que puedan ser recogidas, registradas, tratadas o transmitidas y que pertenezcan a una persona física identificada o identificable. Se anota que no solo se refiere a datos habituales o comunes, sino incluso a aquellos que la persona desconozca sobre sí misma,^¹¹ en virtud de la existencia de tratamientos como la minería de datos.

Es indispensable la comprensión ampliada de este concepto, pues permite aclarar dudas respecto de cierto tipo de datos que por sus características no se tiene la certeza de su condición de personales y, en consecuencia, debe analizarse si están sujetos o no a esta normativa, toda vez que existen dudas respecto de su vinculación a un individuo. Por ejemplo: la dirección de correo electrónico, web e IP, los log-in de acceso, los SMS, los datos de fallecidos, del nasciturus. Asimismo, existe un grupo de datos de los que no existe vacilaciones respecto de su naturaleza, sino que sus elementos definitorios determinan la necesidad de un régimen de protección blindado, como por ejemplo: datos sensibles, datos genéticos, datos de salud, datos obtenidos en sistemas de videovigilancia, entre otros.

IDENTIFICATIVO O IDENTIFICABLE

Conforme señala el artículo 2, letra a) de la Directiva 95/46/CE se consideran datos personales:

toda información sobre una persona física identificada o identificable ("el interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural y social.

En el mismo sentido, el Real Decreto 994/1999 español de 11 de junio que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, que a efectos de definir que debe entenderse por identificación, señala: "5. Identificación: procedimiento de reconocimiento de la identidad de un usuario".

En conclusión, son datos identificativos aquellos que permiten una atribución directa como nombres, dirección, teléfono, número de cédula, pero también aquellos que se pueden sumar a los identificativos para someterlos a tratamiento [...] datos de características personales, datos de circunstancias sociales, datos académicos y profesionales, datos de detalles de empleo, datos de información comercial, datos económicos-financieros, datos de transacciones y datos especialmente protegidos".^¹²

En cambio, son datos identificables:

Aquellos que para los que no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados y para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona.^¹³

Otras recomendaciones del Consejo de Europa señalan además que una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas. Si una persona natural no fuere identificable, los datos se considerarán anónimos.^¹⁴ Si bien estos conceptos resultan ambiguos, se puede concluir naturalmente que "no es lo mismo que se identifique a una persona utilizando criterios de búsqueda en el marco de un sistema automatizado, que a través de los documentos, que se disponga en soporte papel".^¹⁵

Asimismo, si los datos se someten a un proceso de disociación, por el cual no es posible la identificación de su titular o afectado, se pierde la característica fundamental de su vinculación personal y se vuelven anónimos. Por lo tanto, los datos personales anonimizados dejan de estar bajo la égida del derecho a la protección de datos personales porque "cualquier información, en cuanto asociada a un titular, es información de carácter personal, no por la información en sí, sino por su asociación con la persona física a la que se protege".^¹⁶

En consecuencia, los datos o información se protegen por su vinculación con una persona. Esta vinculación puede ser directa (datos identificativos) o indirecta (datos identificables). Su amparo es indispensable porque se protege la autodeterminación informativa de la persona.

RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN LA NORMATIVA ECUATORIANA

La Constitución de 2008 es la primera que reconoce el derecho a la protección de datos personales en Ecuador, y lo hace desde el enfoque europeo, con la voluntad de cumplir un alto estándar de protección. El mencionado número 19, artículo 66 de CRE, describe perfectamente uno de los contenidos esenciales del derecho, el relativo a la autodeterminación informativa.^¹⁷ No solo prescribe el acceso a los datos, como constaba en su antecedente inmediato, el hábeas data, tanto en la Constitución de 1978, codificada en 1996, como en la Constitución de 1998, sino la decisión sobre su información.

En consecuencia, el objetivo fundamental del derecho a la protección de datos personales en Ecuador es proteger la autodeterminación informativa de la persona.

No existe confusión con el derecho a la intimidad o con la privacidad. Se protege todo tipo de datos personales y se supera la determinación histórica, dependiente y atada al derecho a la intimidad que protegía únicamente el dato íntimo, privado, reservado, personal, familiar o sensible, como consta equivocadamente en la normativa legal,^¹⁸ pues los datos inocuos o irrelevantes también gozan del estatus de protección, toda vez que cualquiera de estos, dependiendo de los tratamientos, procesamientos o formas de difusión, pueden potencialmente afectar el libre desarrollo de la personalidad de un individuo y el ejercicio de otros derechos fundamentales.

La doctrina, normativa y jurisprudencia internacional generalmente tiene una configuración aceptada como concepto. Sin embargo, cada país puede establecer sus propias formas de comprensión acerca de la institución o de la naturaleza jurídica de un presupuesto de derecho, como es el caso de los datos e información de carácter personal. Es menester analizar los elementos comunes entre la visión ampliamente aceptada y las especificidades de nuestra normativa y verificar si estas son efectivas, de tal forma que no necesiten interpretaciones o reformas, o, por el contrario, sea necesario intervenir ya sea a través de propuestas normativas o reglamentarias que aclaren dudas, eviten confusiones y en suma permitan materializar este derecho fundamental.

Este artículo se enfocará en definir la naturaleza jurídica del dato o información de carácter personal en Ecuador desde la normativa constitucional, y de la jurisprudencia existente (obiter dicta), pues solo a través de una adecuada delimitación se puede determinar los ámbitos de protección y exclusión de este derecho fundamental, toda vez que no todos los datos ameritan un sistema de protección especializado, sino únicamente los de carácter personal, pues permite salvaguardar al individuo desde distintas perspectivas: derechos intimidad, privacidad, libre desarrollo de la personalidad, autodeterminación informativa e incluso en el ejercicio de otros derechos fundamentales; además, verificar la procedencia de la garantía constitucional del hábeas data que viabilice su ejercicio.

NATURALEZA JURÍDICA DEL DATO PERSONAL EN LA NORMATIVA ECUATORIANA

En el análisis de los elementos que conforman el concepto de dato personal en la normativa ecuatoriana es menester investigar si en la normativa o en la jurisprudencia se recogen aquellos criterios que han sido desarrollados por la normativa y jurisprudencia internacional.

Al respecto, corresponde analizar el derecho fundamental a la protección de datos personales que consta en el artículo 66, número 19 de la CRE, que formula:

El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley

De tal forma que se deben estudiar los siguientes elementos:

DATOS E INFORMACIÓN

De la simple lectura del artículo se colige que se usan los términos datos e información como si se tratasen de sinónimos, aunque no lo son. Tanto en la normativa, como en la jurisprudencia internacional no suele utilizarse el término información sino únicamente el vocablo dato por considerar que de este puede extraerse información y que es lo suficientemente amplio para incluir en él cualquier: a) soporte: físico o virtual; b) tipo de manifestación: gráfica, acústica o fotográfica; c) pauta de expresión: numérica o alfabética; y, en general, d) por la diversidad y asociación de la fuente al individuo: como ha ocurrido en otros países donde, paulatinamente, se ha reconocido la condición de dato personal a las direcciones IP, los clicks de un usuario, el log in a un sitio web, datos biométricos, entre otras.

Sin embargo, respecto de las diferencias entre dato e información la sentencia No. 001-14-PO-CC de 3 de julio de 2014, dictada por la Corte Constitucional ecuatoriana en su parte argumentativa -que no genera una regla de aplicación obligatoria sino que marca un criterio referencial para orientar la interpretación judicial-, señala:

Sin embargo, se ha identificado en la doctrina sobre la protección de datos una distinción entre los conceptos "dato" e "información" a la que se adscribe esta Corte, como lo relata Osvaldo Gozaíni: Algunos entienden "datos" a la representación de hechos, conceptos o instrucciones bajo una forma adaptada a la comunicación, a la interpretación o al tratamiento por seres humanos o máquinas, y por "informaciones" al significado que toman los datos de acuerdo con convenciones vinculadas a estos. De acuerdo con la distinción conceptual citada, el dato adquiere la calidad de información en tanto cumple una función en el proceso comunicativo.^¹⁹

En la jurisprudencia ecuatoriana, la diferenciación entre dato e información no alude al soporte, al tipo de manifestación, a la pauta de expresión o a la diversidad de la fuente, sino a su funcionalidad como medio para establecer una evaluación, apreciación o simbolización del dato, que lo caracteriza como información. La mencionada sentencia alude a esta diferenciación:

La información, entonces, requiere una interpretación del dato, que dota de carga valorativa y funcionalidad concreta a la descripción que este hace. Por lo tanto, el dato solamente es relevante para la protección por medio del hábeas data, en la medida en que sea susceptible de cumplir una función informativa. El mismo autor explica dicho proceso de la siguiente manera: El dato es difícil que, por sí solo, pueda tener una incidencia grande o grave en la llamada privacidad. Esto es, mientras el dato no resuelva una consulta determinada, no sirva a un fin, no dé respuestas o no oriente la posible solución a un problema, es el antecedente o punto de partida para la investigación de la verdad; pero, en el momento en que ese mismo dato da respuesta a una consulta determinada, o sirve a un fin, o se utiliza para orientar la solución de un problema, se ha convertido en información. Como conclusión, los datos están protegidos por medio de la garantía constitucional del hábeas data, siempre que cumplan con una función informativa respecto de las personas y sus bienes y por ende, su comunicación, interpretación o tratamiento afecta en mayor o menor medida los derechos de aquel a quien se refieren.^²⁰

La sentencia transcrita concluye que, para los jueces constitucionales ecuatorianos, el dato en sí mismo no es objeto de la acción de hábeas data sino únicamente aquel que puede llegar a cumplir una finalidad informativa, y que en efecto se convierte en información. Esta aseveración debe ser adecuadamente contextualizada, ya que no puede significar que el derecho a la protección de datos se vea limitado o restringido a proteger únicamente información personal. Esto debido a que, para que el régimen de protección sea completo, el número 19 del artículo 66 de la CRE invoca expresamente los dos términos: tanto dato como información. Toda vez que el derecho a la protección de datos personales salvaguarda también los datos personales por sí mismos, en la medida en que -aunque aparentemente irrelevantes y carentes de contenido informativo- pueden o tienen el potencial de ser sometidos a un proceso o tratamiento que proporcione un perfil completo de un individuo. Precisamente, por este motivo es indispensable implementar mecanismos preventivos como registro de la existencia de bases de datos, sus finalidades y cesiones; así como controles de verificación a los responsables de ficheros respecto del cumplimiento de los principios como calidad, consentimiento informado, seguridad de la información, entre otros, por parte de entidades especializadas. Es decir, el derecho a la protección de datos personales también tiene como objetivo prevenir posibles tratamientos que pudieran generar un daño.

La posición jurisprudencial de que el hábeas data limite su protección a los datos informativos o con función informativa, puede provenir de que esta garantía jurisdiccional protege otros derechos, como el honor, el buen nombre, la intimidad personal y familiar.^²¹ En este sentido, para la transgresión de estos evidentemente se necesita de un dato que genere una evaluación o valoración en un contexto social, familiar o íntimo que cause un daño a la persona. Sin embargo, el hábeas data también es garantía del derecho a la protección de datos personales, por lo que debe adaptarse al contenido esencial del derecho que tutela, y, en este sentido, también se incluye en su ámbito de protección al dato por sí solo, aunque inicialmente carezca de la característica informativa, porque incluso aquel dato que en apariencia no afecta a la privacidad, al decir de la citada sentencia, una vez tratado por medios automatizados puede en conjunto otorgar una visión integral de un individuo que no solo afecten su intimidad, sino incidir directamente en el ejercicio de otros derechos fundamentales. En suma, la conclusión que consta en esta sentencia, y que para la jurisprudencia se reconoce como obiter dicta, debe utilizarse como mecanismo orientador únicamente en aquellos contextos que le son aplicables.

DATOS DE CARÁCTER PERSONAL

La norma deja expresa constancia de la condición de que el dato debe estar vinculado a un titular para ser considerado de carácter personal. La norma constitucional no hace alusión a si esta forma de asociación entre el dato y el individuo es directa o indirecta, por lo que los elementos de identificado e identificable no han sido desarrollados en la versión ecuatoriana, aunque es común en la mayoría de los ordenamientos jurídicos que esta aclaración conste a nivel legal y no en la norma suprema. Solamente menciona, de manera genérica, que se protegen tanto los datos como la información con la condición de que sean personales. Esta norma, al haberse redactado de forma abierta y general, establece un sistema de protección del derecho la autodeterminación informativa en el que, cualquiera sea la clasificación del dato: nominativos, innomina-tivos; reservados, secretos o públicos, notorios; sensibles o no sensibles; existenciales o no existenciales,^²² que conste en ficheros de acceso público o en ficheros de naturaleza privada, con la condición sine qua non, de que sean personales, esto es asociados a un titular.

ANÁLISIS DE LOS TÉRMINOS DOCUMENTOS, DATOS GENÉTICOS, BANCOS O ARCHIVOS DE DATOS PERSONALES E INFORMES EN LA GARANTÍA CONSTITUCIONAL DE HÁBEAS DATA

En Ecuador, la garantía constitucional con la que se permite el ejercicio de los denominados derechos ARCO^²³ es el hábeas data contenido en el artículo 92 de la CRE.

Al respecto, es necesario analizar cada uno de los términos empleados en este artículo: documentos, datos genéticos, bancos o archivos de datos personales e informes; porque, lejos de englobar e incluir todas las formas de manifestación de un dato que puedan garantizar una protección adecuada del derecho, pueden llegar a restringir su procedencia y a causar confusión.

Sobre este tema la sentencia No. 001-14-PO-CC de 3 de julio de 2014, dictada por la Corte Constitucional ecuatoriana, anteriormente analizada, en su análisis señala:

El problema respecto de la diferenciación entre conceptos como "documento", "archivo", "dato", "banco de datos", "información" y otros relacionados con la materia, sin duda no es estrictamente jurídico, sino que corresponde también, entre otros campos, al de la informática. Empero, las implicaciones del sentido y alcance que se dé a cada uno de los conceptos enunciados, así como a la correcta diferenciación entre ellos, deberá ser determinado a través de un ejercicio hermenéutico, y por tanto, tendrá directa relación con el contenido del derecho constitucional protegido por medio de la acción de hábeas data. Así, para la solución del caso concreto y la emisión de reglas jurisprudenciales que se deriven de los hechos presentados, esta Corte deberá recurrir a las fuentes doctrinarias que permitan comprender qué protege la garantía jurisdiccional en particular.^²⁴

La Corte Constitucional señala que es necesario analizar cada caso concreto que se presente, y en el que se invoque cada uno de los elementos enlistados en la norma, por el sentido y alcance de cada uno de estos conceptos y sus posibles consecuencias. Además, para un adecuado análisis, se deberá acudir a las fuentes doctrinarias.^²⁵ En este sentido, a continuación se contribuye con lo siguiente:

DOCUMENTO

La norma por expresa mención regula tanto documentos electrónicos como documentos físicos. Se entiende como documento físico "todo escrito legible o descifrable directamente por el ser humano y aportado normalmente en papel (o en el elemento que en cada momento histórico estaba vigente)".^²⁶

En cambio, el documento electrónico es "un instrumento que se confecciona por medio de elementos electrónicos y que solo puede ser leído, comunicado o transmitido con la ayuda de ciertos medios técnicos que hacen perceptibles o inteligibles las señales digitales que lo integran".^²⁷

La diferencia entre este tipo de documentos radica en el soporte, ya que los primeros pueden ser entendidos directamente por el ser humano o a través de ciertos medios técnicos. Empero, respecto de sus funciones y efectos jurídicos, los documentos electrónicos y documentos físicos son equiparables por aplicarse en ellos el principio de equivalencia funcional establecido en el artículo 2 de la Ley No. 67, Ley de Comercio Electrónico, firmas y mensajes de datos del Ecuador, publicado en el Registro Oficial Suplemento 557 de 17 de abril de 2002.

Es indispensable aclarar que el derecho a la protección de datos resguarda no solo datos virtuales sino también físicos, porque se protege el dato personal que ha sido informatizado y aquel que es susceptible de informatizarse,^²⁸ como por ejemplo: un archivo o fichero con datos no tratados o incluso un fichero físico.

Nuevamente la sentencia No. 001-14-PO-CC analiza la naturaleza de los presupuestos en análisis, para concluir que no es importante la forma en la que el dato o la información se presente -sea este físico: imprimible o documentable; o virtual: registrado en soporte digital-, sino que se protege el contenido informativo. En este sentido, la jurisprudencia ecuatoriana confirma que el hábeas data opera en soporte digital o físico.^²⁹

Ahora bien, superada la discusión sobre la virtualidad o materialidad, el término documento ha propiciado una confusión en el foro ecuatoriano, debido a que se presentan acciones constitucionales de hábeas data cuando en realidad se pretenden iniciar, ya sea como prueba o diligencia previa, procedimientos ordinarios^³⁰ de mera legalidad, como el de exhibición de documentos.^³¹

La Corte Constitucional en sentencia No. 0044-2007 intenta solucionar esta confusión estableciendo que:

...la diferencia fundamental entre la exhibición de documentos y la acción de hábeas data está dada por el tipo de información requerida y la finalidad perseguida con tal acción; para ello, debe tomarse en cuenta que no se trata de cualquier tipo de información sino aquella relacionada con información personal cuya divulgación cause perjuicio o viole su derecho a la intimidad, al honor y a la buena reputación, y que la finalidad es justamente conocer que uso se está dando a esa información, para hacer efectiva la protección de sus derechos.^³²

En tal sentido, la acción de hábeas data -a diferencia del procedimiento de exhibición de documentos- tiene por finalidad el acceso a los datos para ejercitar el derecho a la autodeterminación informativa o para la implementación de los derechos de rectificación, cancelación y anulación, cuando la información sea incorrecta, incompleta o desactualizada, todo ello con miras a evitar actos discriminatorios o perjuicios relacionados con la transgresión de otros derechos fundamentales como el honor, la intimidad y ahora la protección de datos personales.

La sentencia No. 001-14-PO-CC de 3 de julio de 2014, dictada por la Corte Constitucional ecuatoriana, señala como regla de cumplimiento obligatorio por constituir precedente jurisprudencial el que no se puede usar la acción de hábeas data para conseguir la entrega física del documento que contiene datos o información personal, sea que este se encuentre en soporte material o electrónico.^³³

Finalmente, existe una interpretación por la cual se puede entender el término documento como el conjunto de datos,^³⁴ de tal forma que no se asocie este término al soporte en el que se encuentren. Esta perspectiva podría solucionar la equivocada compresión que el término documento ha tenido en nuestro país. Ante la imprecisión normativa, es a la Corte Constitucional a la que le corresponde aclarar el sentido en el que debe entenderse el término documento para evitar la confusión antes señalada. Además, la alusión a documento físico o electrónico en realidad se refiere al soporte donde se encontrarán los datos personales, por lo que dicha referencia podría ser suprimida, y en la norma únicamente debería constar de forma genérica que se protege el acceso a datos personales físicos o virtuales y eliminar el término documento.

a) Dato genético: No se refiere a las muestras en sí mismas, ya que no pueden ser consideradas datos sino fuente de datos,^³⁵ sino a los análisis genéticos, mapas o a informes o conclusiones que se realicen de la comprensión de dichos resultados. Al parecer, su incorporación en el texto constitucional se debe a las dudas, en varios ordenamientos jurídicos extranjeros, sobre su condición de dato personal, de tal forma que los asambleístas ecuatorianos consideraron que era indispensable su expresa mención para evitar estas discusiones o debates y garantizar una protección integral.
b) Bancos o archivos de datos personales o de sus bienes: Al respecto la cualificación de que estos datos deban pertenecer a bancos o archivos resulta además de innecesaria, impertinente, ya que establece una condición excluyente pues solo podría solicitarse hábeas data respecto de aquellos que se encuentren almacenados en un banco o archivo, cuando pueden existir datos sueltos,^³⁶ pero evidentemente relacionados con una persona, y que por lo tanto, sean dignos de protección.
c) Informes sobre sí misma, o sobre sus bienes: El término informe^³⁷ a efectos de establecer la procedencia del hábeas data hace referencia nuevamente al soporte el que estarán contenidos los datos personales. Pues podrán estar descritos o expuestos a través de un informe que puede constar en formato físico o si se trata de un sonido, imagen, fotografía, gráfico, entre otros, puede constar en formato electrónico. Nuevamente, resulta equivoco el uso del término informe ya que no se deben proteger los datos por constar en un determinado formato sino por su naturaleza.

CONCLUSIONES

Conforme consta en el número 19 del artículo 66 de la Constitución de la República del Ecuador, el presupuesto del derecho a la protección de datos personales es el dato y la información de carácter personal.

La posición jurisprudencial de carácter referencial que limita la procedencia del hábeas data a los datos informativos o con función informativa, debiera ser aplicada solo a los otros derechos protegidos por esta garantía jurisdiccional como: el honor, el buen nombre y la intimidad personal y familiar. Ya que, en el caso del derecho a la protección de datos personales, el hábeas data debe adaptarse al contenido de este derecho fundamental y resguardar no solo el dato con contenido informativo, sino también proteger al dato por sí solo, porque, aunque inicialmente carece de la característica informativa, puede ser tratado, perfilar a un individuo y afectar su autodeterminación informativa e incluso otros derechos fundamentales.

Adicionalmente, en el artículo 92 de la CRE no existe mención expresa a los términos genéricos datos e información. La garantía constitucional se encontraría incompleta y sería insuficiente para determinar un adecuado marco de protección porque se debe proteger el dato y la información y no solo sus manifestaciones o procesamientos, precisamente para evitar que en el avance de la tecnología existan datos que pudieran quedar fuera del régimen de protección por no calzar alguna de las expresiones constantes en la norma, esto es, documentos, datos genéticos, bancos o archivos de datos personales e informes sobre sí misma, o sobre sus bienes.

Tanto la norma que hace alusión al derecho fundamental como aquella que consagra la garantía constitucional del hábeas data deben proteger el acceso, la decisión y gestión del dato o de la información, incluidos de forma expresa los datos genéticos, en cualquier soporte físico virtual, ya sean que estos consten en documentos o informes, se encuentren de forma aislada o incorporados a archivos o bancos de datos, sean parte o no de cualquiera otra forma de recogida o procesamiento y versen sobre la persona misma o sobre sus bienes. La única condición clara y coincidente es que estos datos deben vincularse a personas identificadas o identificables, no necesariamente íntimos sino que todo tipo de dato personal incluso aquel considerado inocuo que amerita protección en virtud de su potencialidad y de los actuales avances en minería de datos y la elaboración de perfiles.

BIBLIOGRAFÍA

Aparicio Salom, Javier. Estudio sobre la protección de datos. Navarra: Aranzadi, 2013. [ Links ]

ASALE, RAE. Diccionario de la lengua española. Acceso: 18 de enero de 2017. Disponible en <Disponible en http://dle.rae.es/?id=LYB2BS5|LYF57Ax >. [ Links ]

Conde Ortiz, Concepción. La protección de datos personales: un derecho autónomo con base en los conceptos de intimidad y privacidad. Madrid: Dykinson, 2005. [ Links ]

Consejo de Europa. "Recomendación No. R (97) 18 y Exposición de Motivos del Comité de Ministros a los Estados Miembros relativa a la protección de datos de carácter personal, recogidos y tratados con fines estadísticos", 30 de septiembre de 1997. [ Links ]

Davara Fernández de Marcos, Isabel. Hacia la estandarización de la protección de datos personales: propuesta sobre una "Tercera Vía o Tertium Genus" Internacional. Madrid: La Ley, 2011. [ Links ]

Davara Rodríguez, Miguel Ángel. Manual de Derecho informático. Cizur Menor: Thomson Aranzadi, 2015. [ Links ]

Fernández Esteban, María Luisa. Nuevas tecnologías, internet y derechos fundamentales. Madrid: MacGraw-Hill, 1998. [ Links ]

Gil, Elena. Big Data, privacidad y protección de datos. Madrid, Agencia Española de Protección de Datos, 2016. [ Links ]

Gozaíni, Osvaldo Alfredo. Habeas Data: protección de datos personales: doctrina y jurisprudencia. Buenos Aires: Rubinzal-Culzoni, 2001. [ Links ]

Pardini, Anibal. "La información y su sistema de protección". Revista de Direito do Comércio Internacional Temas e Atualidades Internet, Comércio Eletrônico E Sociedade da Informação (2006). [ Links ]

Santos García, Daniel. Nociones generales de la Ley Orgánica de Protección de Datos y su reglamento: adaptado alRD 1720/2007 de 21 de diciembre, 2a. ed. Madrid: Tecnos, 2012. [ Links ]

Troncoso Reigada, Antonio. La protección de datos personales: en busca del equilibrio. Valencia: Tirant lo Blanch, 2010. [ Links ]

Vega Vega, José Antonio. Derecho mercantil electrónico. Madrid: Reus, 2015. Disponible en <http://public.eblib.com/choice/publicfullrecord.aspx?p=4569794>. [ Links ]

Zabía de la Mata, Juan, e Irene Ma. Agúndez Lería, edit. Protección de datos: comentarios al reglamento. Valladolid: Lex Nova, 2008. [ Links ]

OTROS

Corte Constitucional del Ecuador. "Sentencia No. 001-2014-PJO-CC". Gaceta Constitucional No. 007, 3 de julio de 2014. [ Links ]

______. "Sentencia No. 0039-2008-HD", n.d. R. O. Suplemento 86, 5 de diciembre de 2008. [ Links ]

______. "Sentencia No. 0044-2007-HD", 21 de mayo de 2009. R. O. Suplemento 137, 4 de agosto de 2009. [ Links ]

G29. "Dictamen 4/2007 Sobre El Concepto de Datos Personales", 20 de junio de 2007. Tribunal Constitucional del Ecuador. "Sentencia No. 0070-2003-HD". R. O. 271, 11 de febrero de 2004. [ Links ]

¹Antonio Troncoso Reigada, La protección de datos personales: en busca del equilibrio (Valencia: Tirant lo Blanch, 2010), 32.

²El profesor Aluja utiliza la definición de minería de datos ya adelantada por Hans (1998): "el proceso de análisis secundario de grandes bases de datos con el objetivo de encontrar relaciones insospechadas que son de interés o aportan valor al titular de la base de datos". Tomás Aluja, "La minería de datos, entre la estadística y la inteligencia artificial", Qüestiió 25, No. 3 (2001).

³Concepción Conde Ortiz, La protección de datos personales: un derecho autónomo con base en los conceptos de intimidad y privacidad (Madrid: Dykinson, 2005), 66.

⁴María Luisa Fernández Esteban, "Nuevas tecnologías, internet y derechos fundamentales" (Madrid: MacGraw-Hill, 1998), 129.

⁵Ibíd., 37.

⁶Troncoso Reigada, La protección de datos personales, 2.

⁷Europa: Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

⁸España: Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

⁹R. H. Saroka, Sistemas de información en la era digital (Buenos Aires: Fundación Osde, s. f.), citado por Aníbal Pardini, "La información y su sistema de protección", Revista de Direito Do Comércio Internacional Temas E Atualidades Internet, Comércio Eletrônico E Sociedade Da Informação (2006): 22.

¹⁰Ibíd., 22.

¹¹Isabel Davara Fernández de Marcos, Hacia la estandarización de la protección de datos personales: propuesta sobre una "Tercera Vía O Tertium Genus"Internacional (Madrid: La Ley, 2011), 141.

¹²Daniel Santos García, Nociones generales de la Ley Orgánica de Protección de Datos y su Reglamento: adaptado Al RD 1720/2007 de 21 de diciembre, 2a. ed. (Madrid: Tecnos, 2012), 42.

¹³SAN recurso 948/2000, de 8 de marzo de 2002.

¹⁴Consejo de Europa, "Recomendación No. R (97) 18 y exposición de motivos del Comité de Ministros a los Estados Miembros relativa a la protección de datos de carácter personal, recogidos y tratados con fines estadísticos", 30 de septiembre de 1997, 3.

¹⁵Juan Zabía de la Mata e Irene Ma. Agúndez Lería, edit., Protección de datos: comentarios al reglamento (Valladolid: Lex Nova, 2008), 112.

¹⁶Davara Fernández de Marcos, Hacia la estandarización de la protección de datos personales, 147.

¹⁷"Según la elaboración alemana, la autodeterminación informativa, en el marco de la personalidad, podría definirse como el derecho del individuo a controlar la obtención, tenencia, tratamiento y transmisión de datos relativos a su persona". María Mercedes Serrano Pérez, El derecho fundamental a la protección de datos. Derecho español y comparado (Madrid: Thomson / Civitas, 2003), 67.

¹⁸Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos publicada en el Registro Oficial 557-S, 17 de abril de 2002, art. 9: "...la recopilación y uso de datos personales responderá a los derechos de privacidad, intimidad y confidencialidad garantizados por la Constitución Política de la República y esta ley".

¹⁹Ecuador. Corte Constitucional (Sentencia No. 001-2014-PJO-CC), Gaceta Constitucional No. 007, 3 de julio de 2014.

²⁰Ibíd.

²¹Ecuador. Tribunal Constitucional (Sentencia No. 0070-2003-HD), R. O. 271 de 11 de febrero de 2014.

²²Osvaldo Alfredo Gozaíni, Habeas data: protección de datos personales. Doctrina y jurisprudencia (Buenos Aires: Rubinzal-Culzoni, 2001).

²³Son parte del contenido clásico del derecho a la protección de datos personales: el acceso, la rectificación, la cancelación y la oposición. Con la inicial de cada uno de estos derechos se forma el acrónimo ARCO. Serrano Pérez, El derecho fundamental a la protección de datos. Derecho español y comparado, 343.

²⁴Ecuador. Corte Constitucional (Sentencia No. 001-2014-PJO-CC).

²⁵Ibíd.

²⁶José Antonio Vega Vega, Derecho mercantil electrónico (Madrid: Reus, 2015), 27. Disponible en <http://public.eblib.com/choice/publicfullrecord.aspx?p=4569794>.

²⁷Ibíd.

²⁸Ya que esta informatización se puede llevar a cabo incluso de forma material con la simple "[...] organización y estructura lógica de los datos en un fichero -aunque sea manual-, que permita su fácil acceso, tratamiento y recuperación o consulta de la información". Miguel Ángel Davara Rodríguez, Manual de derecho informático (Cizur Menor: Thomson Aranzadi, 2015), 50.

²⁹Ecuador. Corte Constitucional (Sentencia No. 001-2014-PJO-CC): el "documento" funge como uno de varios medios en los que es posible impregnar o "imprimir" tal representación por medio de símbolos, a fin de lograr la preservación del dato y la información que se puede extraer de él. Por ende, no interesa para el hábeas data, como garantía, el papel y la tinta utilizados para registrar el dato, ni el disco duro en el cual se encuentre la información -denominados por el constituyente como "soporte material o electrónico" de los datos-, ni cualquier forma ideada por el ingenio humano para su preservación, sino que, como la expresión lo señala, el derecho tutelado recae sobre el dato mismo y el uso informativo que se le dé.

³⁰Ecuador. Código Orgánico General de Procesos (COGEP), art. 122.- Diligencias preparatorias. Además de otras de la misma naturaleza, podrá solicitarse como diligencias preparatorias: 1. La exhibición de la cosa mueble que se pretende reivindicar o sobre la que se practicará secuestro o embargo; la del testamento, cuando la o el peticionario se considere la o el heredero, legataria o legatario o albacea; la de los libros de comercio cuando corresponda y demás documentos pertenecientes al comerciante individual, la sociedad, comunidad o asociación; exhibición de los documentos necesarios para la rendición de cuentas por quien se halle legalmente obligado a rendirlas; y en general, la exhibición de documentos en los casos previstos en este Código. 2. La exhibición de los títulos u otros instrumentos referentes a la cosa vendida, por parte de su enajenante en caso de evicción o pretensiones similares. 3. El reconocimiento de un documento privado. 4. El nombramiento de tutora o tutor o curadora o curador para las o los incapaces que carezcan de guardadora o guardador o en los casos de herencia yacente, bienes de la persona ausente y de la o del deudor que se oculta. 5. La apertura de cajas o casilleros de seguridad en las instituciones del sistema financiero. 6. La inspección preparatoria si la cosa puede alterarse o perderse. 7. La recepción de las declaraciones urgentes de las personas que, por su avanzada edad o grave enfermedad se tema fundadamente puedan fallecer o de quienes estén próximos a ausentarse del país en forma permanente o por un largo período". LEY 0, Registro Oficial Suplemento No. 506 de 22 de mayo de 2015.

³¹Ecuador. Corte Constitucional (Sentencia No. 0039-2008-HD), R. O. Suplemento 86 de 5 de diciembre de 2008.

³²Ecuador. Corte Constitucional (Sentencia No. 0044-2007-HD), R. O. Suplemento 137 de 4 de agosto de 2009.

³³Ecuador. Corte Constitucional (Sentencia No. 001-2014-PJO-CC): 6. El hábeas data, como mecanismo de garantía del derecho a la protección de datos personales, no podrá ser incoado como medio para requerir la entrega física del soporte material o electrónico de los documentos en los que se alegue está contenida la información personal del titular sino para conocer su existencia, tener acceso a él y ejercer los actos previstos en el artículo 92 de la Constitución de la República; el juez está obligado a utilizar todos los mecanismos que establece la ley para efectos de garantizar debida y eficazmente los actos constantes en el artículo referido.

³⁴Davara en su texto señala que cuando "el dato o la documentación -como conjunto de datos- son sometidos a un tratamiento o adecuación a un fin, para obtener un resultado elaborado, se convierten en información". Davara Rodríguez, Manual de derecho informático, 53.

³⁵Javier Aparicio Salom, Estudio sobre la protección de datos (Navarra: Aranzadi, 2013), 108.

³⁶Se ha pronunciado en este sentido el G29 en el Dictamen 4/2007 sobre el concepto de datos personales cuando dice: "para que la información sea considerada como datos personales no es necesario que esté recogida en una base de datos o en un fichero estructurado. También la información contenida en un texto libre, en un documento electrónico puede calificarse como datos personales, siempre que se cumplan los otros criterios de definición de datos personales". G29, "Dictamen 4/2007 sobre el concepto de datos personales", 20 de junio de 2007.

³⁷Respecto del término "informe", la Real Academia de la Lengua señala dos acepciones más cercanas al tema de análisis; en primer lugar, la "Descripción, oral o escrita, de las características y circunstancias de un suceso o asunto"; asimismo, dice que es la "Exposición total que hace el letrado o el fiscal ante el tribunal que ha de fallar el proceso". RAE-ASALE, "Diccionario de la Lengua Española. Edición del Tricentenario", Diccionario de la Lengua Española, acceso: 18 de enero de 2017. Disponible en <http://dle.rae.es/?id=LYB2BS5|LYF57Ax>.

Recibido: 13 de Marzo de 2017; Aprobado: 15 de Mayo de 2017

Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons