Carlos B Fernández. El pasado 16 de diciembre, la Conferencia Ministerial del Comité de Economía Digital de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), reunida en Gran Canaria, ha adoptado la Declaración sobre acceso gubernamental a datos personales en poder del sector privado.
Esta Declaración, que ha contado con el impulso del Ministerio de Justicia español, es el primer acuerdo intergubernamental sobre enfoques comunes para salvaguardar la privacidad y otros derechos humanos y libertades en el marco del acceso a datos personales con fines de protección de la seguridad nacional y mantenimiento del orden público.
En concreto, supone un importante compromiso político por parte de los 38 países de la OCDE y la Unión Europea, para que el acceso gubernamental a datos en manos del sector privado cumpla con los estándares de protección de datos personales, facilitando así el flujo internacional de los mismos, y reforzando la seguridad jurídica y la confianza mutua entre los países suscritos. En particular, la Declaración clarifica el modo en que los organismos de seguridad nacional y las fuerzas del orden público pueden acceder a los datos personales en virtud de los marcos jurídicos existentes.
También tiene entre sus objetivos garantizar que la prevención, investigación y persecución de los delitos se realice en el marco de la cooperación transfronteriza para reforzar el acceso a la información disponible, incluida la de naturaleza personal, garantizando de este modo los estándares comunes en materia de protección de la privacidad.
Además, la declaración contempla un marco común de garantías de los principios democráticos y de respeto al Estado de Derecho, con el fin de que convivan en equilibrio ambas áreas de protección: la seguridad pública y la garantía de los derechos de la ciudadanía, con la protección de los datos personales.
Principios rectores del acceso de los gobiernos a los datos personales en poder de entidades del sector privado
La Declaración reconoce una serie de principios compartidos que reflejan aspectos comunes recogidos en las leyes y prácticas vigentes en los países miembros de la OCDE. Estos principios son:
I. Base legal
El acceso de los gobiernos a los datos personales en poder de las entidades del sector privado está previsto y regulado en el marco jurídico del país, que es vinculante para las autoridades gubernamentales y que ha sido aprobado y es aplicado por instituciones democráticamente establecidas que operan con arreglo al Estado de derecho.
El marco jurídico establece los fines, las condiciones, las limitaciones y las salvaguardias en relación con este acceso gubernamental, de modo que los individuos dispongan de garantías suficientes contra el riesgo de uso indebido y abuso.
II. Objetivos legítimos
El acceso de los gobiernos contribuye a la consecución de objetivos específicos y legítimos. Los gobiernos solo pretenden el acceso para tales fines, de conformidad con el Estado de derecho.
El acceso de los gobiernos se lleva a cabo de una manera que no es excesiva en relación con los objetivos legítimos y de acuerdo con los principios legales de necesidad, proporcionalidad, racionalidad y otras normas que protegen contra el riesgo de uso indebido y abuso, de conformidad con lo establecido e interpretado en el marco jurídico del país.
Los gobiernos no pretenden acceder a los datos personales con el fin de reprimir o dificultar las críticas o la disidencia, o de perjudicar a personas o grupos únicamente en función de características como, por ejemplo, la edad, la discapacidad mental o física, el origen étnico, la condición de indígena, la identidad o expresión de género, la orientación sexual o la afiliación política o religiosa.
III. Aprobación previa
Los requisitos de aprobación previa para el acceso de los gobiernos se establecen en el marco jurídico para garantizar que el acceso se realiza de acuerdo con las normas, reglas y procedimientos aplicables.
Son proporcionales al grado de injerencia en la intimidad y otros derechos humanos y libertades del acceso gubernamental.
Dichos requisitos especifican los criterios para solicitar y conceder la aprobación, el procedimiento que debe seguirse y la entidad encargada de aprobar el acceso.
Existen requisitos de aprobación más estrictos para los casos de injerencia más graves, que pueden implicar la necesidad de solicitar la aprobación de autoridades judiciales o no judiciales imparciales.
Las excepciones de emergencia a los requisitos de aprobación están legalmente previstas y claramente definidas, con indicación de sus justificaciones, condiciones y duración. Las decisiones relativas a la aprobación están debidamente documentadas. Se han adoptan de forma objetiva, sobre la base de los hechos, en aras de un objetivo específico y legítimo y tras comprobar que se cumplen los requisitos de aprobación. En las situaciones en las que no se requiere la aprobación, se aplican otras salvaguardias establecidas en el marco jurídico para proteger contra el uso indebido y el abuso, incluidas normas claras que imponen condiciones o limitaciones al acceso, así como una supervisión efectiva.
IV. Tratamiento de datos
Los datos personales obtenidos a través del acceso gubernamental solo pueden ser procesados y tratados por personal autorizado.
Dicho tratamiento y procesamiento está sujeto a los requisitos previstos en el marco jurídico, que incluyen la aplicación de medidas físicas, técnicas y administrativas para mantener la privacidad, la seguridad, la confidencialidad y la integridad de los datos.
También prevén mecanismos para garantizar que los datos personales se procesen de forma legal, se conserven solo durante el tiempo autorizado en el marco jurídico a la vista de la finalidad que se persigue y teniendo en cuenta la sensibilidad de los datos, así como que se mantengan exactos y actualizados siempre que sea apropiado habida cuenta del contexto.
Se establecen controles internos para detectar, prevenir y subsanar la pérdida de datos o los supuestos de acceso, destrucción, uso, modificación o divulgación no autorizados o accidentales de datos, y para informar de estos casos a los correspondientes organismos de supervisión.
V. Transparencia
El marco jurídico general que rige el acceso de los gobiernos a los datos es claro y de fácil acceso para el público, de modo que los individuos estén en condiciones de sopesar el impacto potencial de un acceso gubernamental en su privacidad y otros derechos humanos y libertades.
Existen mecanismos para dotar de transparencia al acceso de los gobiernos a los datos personales que equilibran el interés de los individuos y del público a ser informados con la necesidad de prevenir la divulgación de información susceptible de perjudicar la seguridad nacional o el mantenimiento del orden público. Estos mecanismos incluyen la presentación de informes públicos por parte de los organismos de supervisión sobre el cumplimiento de los requisitos legales por parte del gobierno, así como los procedimientos para solicitar el acceso a los registros del gobierno.
Otras medidas consisten, por ejemplo, en la presentación de informes periódicos por parte de los gobiernos y, cuando proceda, en la notificación individual. Las entidades del sector privado están autorizadas a emitir informes estadísticos agregados sobre las solicitudes de acceso gubernamental de conformidad con el marco jurídico.
VI. Supervisión
Existen mecanismos para una supervisión eficaz e imparcial que garantice que el acceso de los gobiernos a los datos respeta el marco jurídico aplicable. La supervisión se realiza a través de organismos como oficinas de cumplimiento interno, órganos jurisdiccionales, comisiones parlamentarias o legislativas y autoridades administrativas independientes.
Los sistemas de supervisión de los países están compuestos por estos organismos, que actúan de acuerdo con sus mandatos individuales y entre cuyas facultades se incluye la capacidad de obtener y revisar información relevante, realizar investigaciones o averiguaciones, llevar a cabo auditorías, comprometerse con las entidades gubernamentales en materia de cumplimiento y atenuación, y abordar el incumplimiento.
Además, estos organismos reciben y responden los informes de incumplimiento para garantizar que las entidades gubernamentales rindan cuentas, y también pueden ejercer funciones de reparación en respuesta a las quejas de los particulares.
Los órganos de supervisión estarán protegidos de cualquier injerencia en el ejercicio de sus funciones y disponen de los recursos financieros, humanos y técnicos necesarios para desempeñar eficazmente su mandato. Documentan sus conclusiones, elaboran informes y hacen recomendaciones, que se ponen a disposición del público en la medida de lo posible.
VII. Reparación
El marco jurídico brinda a los individuos una efectiva reparación judicial y no judicial para identificar y resarcir las infracciones del marco jurídico nacional. Tales mecanismos de reparación tienen en cuenta la necesidad de preservar la confidencialidad de las actividades de seguridad nacional y de mantenimiento del orden público. Esto puede implicar ciertas limitaciones a la hora de informar a los individuos sobre si se ha accedido a sus datos o si se ha producido una infracción.
Los medios de reparación previstos incluyen, en función de las condiciones aplicables, el cese del acceso, la supresión de los datos a los que se haya accedido o que se hayan conservado indebidamente, el restablecimiento de la integridad de los datos y el cese del tratamiento ilícito. También pueden contemplar, según las circunstancias, una indemnización por los daños y perjuicios que haya sufrido un individuo.
Estos principios:
• Se complementan entre sí para proteger la privacidad y otros derechos humanos y libertades;
• Se aplican al acceso y al tratamiento por parte de los gobiernos de los datos personales que están en poder o control de las entidades del sector privado cuando los gobiernos persiguen fines de orden público y de seguridad nacional dentro de sus respectivos territorios, de conformidad con su marco jurídico nacional, incluidas las situaciones en las que los poderes públicos de un país están facultados, en virtud de su marco jurídico nacional, para ordenar a las entidades del sector privado que proporcionen datos al gobierno cuando la entidad del sector privado o los datos no se encuentran en su territorio (en lo sucesivo, «acceso de los gobiernos»);
• Se interpretan con sujeción a los marcos jurídicos nacionales y pueden ser aplicados por los países de diferentes maneras, según el contexto y las circunstancias específicas, como el tipo de acceso que se pretende.
Contexto
La Declaración, que rechaza cualquier enfoque del acceso de los gobiernos a los datos personales que resulte incompatible con los valores democráticos y el Estado de Derecho, es el resultado de dos años de trabajo de la OCDE, llevado a cabo por un grupo de expertos de diversos países en materia de protección de datos, seguridad nacional y orden público.
Este proyecto surgió de la creciente preocupación por la falta de principios comunes en ámbitos sensibles como son la seguridad nacional y el orden público, una carencia que podría conducir a restricciones indebidas de los flujos de datos. Otra de las motivaciones detrás de esta iniciativa es el anhelo de aumentar la confianza entre los distintos sistemas democráticos regidos por el Estado de Derecho que, si bien no son idénticos, tienen importantes aspectos en común.
La Declaración complementa las Directrices de la OCDE sobre privacidad, uno de los logros más importantes de la Organización, que se remontan a 1980 y que constituyen la base de las normas sobre privacidad de muchos países. Actualizadas por última vez en 2013, las Directrices sobre privacidad proporcionan un punto de referencia común para la protección de los datos personales y tienen como objetivo facilitar los flujos de datos transfronterizos al tiempo que defienden los valores democráticos, el Estado de Derecho y la protección de la privacidad y otros derechos y libertades. Un aspecto crucial es que prevén excepciones por motivos de seguridad nacional y de orden público. Esta nueva Declaración articula un conjunto de principios compartidos que reflejan aspectos comunes extraídos de las prácticas y leyes vigentes en los países miembros de la OCDE y que se complementan entre sí a la hora de proteger la privacidad y otros derechos humanos y libertades.
Asimismo, la Declaración complementa el proyecto Going Digital de la OCDE, que en su actual y tercera fase se centra en la gobernanza de datos para el crecimiento y el bienestar y propone soluciones con una sólida base empírica para los desafíos fundamentales en materia de gobernanza de datos a los que se enfrentan los países. Los resultados de esta fase del proyecto, concluida en la Conferencia ministerial, se reflejan en la Going Digital Guide to Data Governance Policy Making y en el informe Going Digital to Advance Data Governance for Growth and Well-being.