La cesión no consentida de los datos personales.

XC_LogoFinal (1)

Como un día cualquiera, me dirigía al centro comercial Mall del Sol de la ciudad de Guayaquil, manejando en el vehículo de mi señor padre. Al entrar al subterráneo de los parqueos, el empleado de dicho centro comercial teclea en su máquina las placas del carro, para después darme el ticket correspondiente, algo que es normal y nada fuera de lo común.

No obstante, me llamó profundamente la atención que en el ticket, además de tener registrado la matrícula del carro, también aparecía el nombre y apellido del propietario del vehículo. Esto enseguida me hizo pensar sobre cómo obtuvo el sistema de datos del centro comercial Mall del Sol, la información personal del propietario del vehículo, para lo cual llegué a la conclusión que otra persona o entidad le ha proporcionado dichos datos personales; es decir, probablemente este centro comercial haya obtenido la información de otra base de datos, como por ejemplo la Autoridad de Tránsito Municipal (en adeltante ATM).

Este caso tienen relación exclusivamente con la protección de nuestros datos personales y en especial sobre su cesión no consentida. Podemos definir la cesión de datos personales como toda revelación de la información personal efectuada a un tercero distinto al titular de dicha información.

En la cesión de datos participan dos personas: El primero es el cedente, quien es la encargada de realizar la cesión o revelación de los datos personales que fueron previamente otorgados por el titular de la información personal; y el segundo es el cesionario, la persona quien recibe la cesión de los datos personales por parte del cedente.

La regla general de toda cesión de datos personales, es que cualquier revelación que vaya a realizar el cedente al cesionario, deba contar con el consentimiento previo del titular. Así por ejemplo, en el caso expuesto en líneas anteriores, lo más probable es que la ATM haya sido el cedente del dato personal, por ser este la entidad principal que tiene en sus registros la información relativa a las placas de los vehículos y determinar quiénes son sus respectivos propietarios. Entonces, al ser la ATM el cedente por cuanto nosotros otorgamos nuestros datos personales para efectos de registro de la propiedad de los vehículos, éste solamente puede realizar la cesión de nuestros datos personales al cesionario, con nuestro previo consentimiento, caso contrario se convierte en una flagrante vulneración a nuestro derecho constitucional a la protección de datos personales.

Lamentablemente, como en el Ecuador todavía no existe una Ley que contemple la protección de datos personales, ni mucho menos que regule la cesión no consentida de los mismos, seguirán existiendo casos de atropellamiento y vulneración a nuestra información personal. No obstante, a pesar de no contar con una Ley, el derecho a la protección de datos personales si está consagrado en nuestra Constitución, en su artículo 66 numeral 19 y a su vez ningún poder público o particular puede desconocer o dejar de garantizar este derecho con el pretexto de no existir una Ley que lo regule específicamente, tal como lo manda el artículo 11, numeral 3 de la Carta Magna.

Entonces, al no existir Ley pero si el reconocimiento constitucional de este derecho. ¿Qué se puede hacer en los casos de cesión no consentida de los datos personales? Pues bien todo se reduce a que solamente se puede entablar la garantía constitucional del Hábeas Data, para lo cual se deberá demandar a la persona, sea esta natural o jurídica que haya obtenido nuestros datos personales sin nuestro consentimiento previo.

¿Qué se puede solicitar en la garantía del Hábeas Data con respecto a la cesión no consentida de los datos personales?

1.- El acceso al sistema, registro o archivo de datos que tenga la parte demandada (quien vendría a ser el cesionario).

2.- Al permitirse el acceso, se puede conminar a la parte demandada para que informe quien es la persona natural o jurídica que reveló, proporcionó o cedió nuestros datos personales sin el consentimiento del titular. En otras palabras, se puede averiguar quién es el cedente.

3.- Conocer  cual es la finalidad de dicha cesión y si dicha finalidad es compatible con la causa que motivó dicha cesión. Así por ejemplo, en el caso expuesto, si el cesionario que vendría a ser el Centro Comercial Mall del Soll, aduce que era necesaria la cesión para efectos de seguridad pública, aparentemente quedaría justificada dicha revelación de los datos personales. Sin embargo, a mi criterio, bastaba que el cesionario simplemente tenga incorporado en sus registros la placa correspondiente del vehículo, no siendo necesario recopilar otros datos del propietario, porque éstos pueden ser consultados después por la autoridad pública pertinente en caso que exista algún robo o hurto.

4.- Solicitar al Juez que ordene al cedente, pese a no ser parte procesal al inicio del juicio, que notifique al titular del dato personal sobre cualquier cesión o revelación que vaya a realizar, para de esta manera contar con el consentimiento del titular. En caso de no haber consentimiento, deberá prohibirse dicha cesión. La misma orden puede ser solicitada para el cesionario, quien deberá informar al titular sobre cualquier cesión realizada.

Claro está que el Juez podría validar la justificación del cedente sobre la cesión no consentida de los datos personales, pero para esto el Juez debe aplicar la ponderación respectiva y limitar dicha cesión en casos específicos y de esta manera no perjudicar al titular.

5.- Solicitar al Juez la reparación integral por la vulneración de nuestros datos personales, lo cual dependerá de las pruebas que aporten las partes en el proceso.

En resumen, la cesión no consentida de nuestros datos personales es un problema que tenemos que lidiar todos los días, debido a que el Ecuador no cuenta con una legislación que ampare directamente la protección de datos personales. Claro está que a muchas personas les resta importancia sobre el destino de su información personal, pero hay que tener en cuenta que así como es fácil que algún tercero pueda tener nuestra información personal, habrá mayor facilidad de cometimiento vulneración de nuestros datos personales, inclusve a nuesta intimidad. Por esta razón, invito al lector a tomar conciencia sobre a quienes estamos dando nuestro consentimiento sobre nuestra información personal y en caso de no haber dicho consentimiento, el titular tiene la falcultad de hacer uso de la garantía constitucional del Hábeas Data.

 

La protección de datos personales en el COGEP

XC_LogoFinal (1)

En el Ecuador, muy pronto entrará en vigencia el Código Orgánico General de Procesos (177 días exactamente contando desde la fecha de publicación de este artículo), en el cual cambiará radicalmente el sistema procesal ecuatoriano.

Existen múltiples novedades que se encuentran inmersas en el COGEP, como por ejemplo el procedimiento monitorio, la sentencia que debe dictar el juez en la audiencia de juicio, la fundamentación de la apelación, etc. No obstante, existe una peculiaridad que llama la atención y no precisamente tiene relación con alguna figura o institución procesal.

Dicha novedad consiste en que el COGEP, contempla de manera indirecta, el derecho a la protección de datos personales, en su artículo 7, que establece lo siguiente:

Art 7.- Principio de intimidad.Las y los juzgadores garantizarán que los datos personales de las partes procesales se destinen únicamente a la sustanciación del proceso y se registren o divulguen con el consentimiento libre, previo y expreso de su titular, salvo que el ordenamiento jurídico les imponga la obligación de incorporar dicha información con el objeto de cumplir una norma constitucionalmente legítima”.

Como se puede apreciar, el citado artículo hace referencia a los datos personales de las partes que intervienen en un juicio, garantizando su protección por parte de los jueces  y que solamente pueden tener un cierto grado de afectación o vulneración, cuando una norma constitucionalmente legítima lo permita.

Antes de analizar este artículo, primero debemos responder esta importante pregunta: ¿Qué es un dato personal?

Pues bien, un dato personal es aquella información que identifica o permite identificar a una determinada persona natural; es decir, es aquella que nos convierte en identificables, de manera directa o indirecta con el resto del mundo, cuya protección implica la tutela de ésta frente a tratamientos, manipulaciones, acceso no autorizado o divulgación no consentida por el titular, excepto en los casos establecidos por ley.

Es importante tener en cuenta que la naturaleza del derecho a la protección de datos personales, solamente es aplicable para las personas naturales y no para las personas jurídicas, pese a que éstas últimas pueden ejercer la acción del hábeas data en casos específicos, en los cuales lo expliqué oportunamente en este artículo  (xaviercuadros.com/…/analisis-de-la-jurisprudencia-vinculante-del-habeas-data)

Ahora bien, analizando el artículo 7 del COGEP, podemos fragmentarlo en tres partes:

1.- La garantía de la protección de datos personales por parte de los jueces.-  Según lo estipulado en dicho artículo, los jueces deben garantizar que los datos personales de las partes procesales, se destinen solamente a la sustanciación del juicio como tal; es decir, no pueden ser destinados para fines distintos que los del proceso judicial que se lleva a cabo. Así por ejemplo, si se sustancia un juicio de divorcio, en donde se encuentran estipulados los nombres de los cónyuges, de los hijos o cualquier otra información que los identifique a estos, no pueden ser cedidos a personas o empresas que realizan encuestas de matrimonios fallidos en el Ecuador, sino que deben ser destinados únicamente para la sustanciación de dicho juicio.

2.- El consentimiento del titular del dato personal.- En este caso, el artículo hace mención a dos importantes palabras: “divulgación” y “registro”. En cuanto a la primera, es decir la divulgación, significa que bajo ninguna circunstancia, el juez puede poner a disposición al público en general, los datos personales de las partes procesales.

Pero en este caso, ¿Qué ocurre con el principio de publicidad? ¿Qué ocurre con el derecho de acceso a la información pública, como lo son los juicios en general? Aparentemente, la “solución” se encuentra estipulado en el artículo 8 del mismo COGEP, en donde estipula que la información de los procesos sometidos a la justicia es pública y que únicamente se admitirá como excepción, las “estrictamente necesarias” para proteger la intimidad, el honor, el buen nombre o la seguridad de cualquier persona.

Este último artículo pareciera que nos ofrece una solución al problema planteado; sin embargo, ésta no está del todo correcto, debido a que en primer lugar el COGEP confunde el dato personal con el dato íntimo, estableciéndolos como iguales, cuando en realidad no es así y lo expliqué precisamente en este artículo (.xaviercuadros.com/…/diferencias-entre-el-derecho-a-la-intimidad-y-el-derecho-a-la-proteccion-de-datos-personales). Y en segundo lugar, porque quedará a libre criterio del juez, en sacrificar ya sea el principio de publicidad o la protección de datos personales, lo cual puede recaer en un eventual caso de arbitrariedad al momento de aprobar o no su divulgación.

Y en cuanto a la segunda palabra, es decir el consentimiento del titular para el “registro” de sus datos personales en el juicio, resulta un poco extraño que se lo haya recopilado en dicho artículo sin mayor explicación alguna, debido a que en todo juicio, desde su comienzo hasta su finalización, es obvio que quedarán registrados los datos personales de las partes procesales (como el nombre y apellido) en los archivos respectivos de las Cortes judiciales correspondientes.

Para comprender esta parte del artículo, considero que hay que analizarlo desde dos puntos de vista:  El primero en cuanto al tipo de registro o archivo que serán destinados los datos personales; es decir, que los datos personales de las partes, no pueden ser registrados en archivos distintos a los de la función judicial, salvo que cuenten con el consentimiento del titular; y el segundo, en cuanto al tipo o grado de dato personal, que se vaya a registrar, debido a que existirán juicios en donde necesariamente se incorporará información que comprometa la intimidad de alguna de las partes procesales.

3.- Las excepción a la protección de datos personales.- Como toda regla general tiene su adecuada excepción, el mismo artículo estipula que no se necesitará el consentimiento de la parte procesal correspondiente, para la incorporación forzosa de un dato personal en el proceso judicial, cuando una norma constitucionalmente legítima lo permita. Por ejemplo, en un juicio de paternidad, se necesitará obligatoriamente la incorporación del examen de ADN, para determinar si el demandado es o no el padre de quien reclama dicha paternidad, siendo un dato personal que debe ser incorporado al proceso de manera obligatoria, por expreso mandato de la ley.

Considero positiva la incorporación de la protección de datos personales por parte del COGEP, sobre todo porque en el Ecuador no contamos aún con una Ley que proteja única y exclusivamente nuestros datos personales, y a su vez porque sería el primero código procesal del país que incorpora expresamente este importante derecho.

Sin embargo, no es del todo positivo dicha incorporación, porque el mismo COGEP no diferencia la intimidad con los datos personales, tanto es así que en el encabezado del artículo 7,empieza con la estipulación “principio de intimidad”, lo cual no es del todo acertada dicha estipulación por las razones expuestas; y así mismo, si no existe una buena capacitación a los jueces, secretarios o demás servidores judiciales, sobre la naturaleza del derecho a la protección de datos personales, entonces existirán problemas en la práctica al momento  de querer aplicar el referido artículo, una vez que entre en vigencia el Código Orgánico General de Procesos.