¿Qué opinarías de un programa que permita identificar todo lo que haces en tu casa? No digo solo comer o dormir, sino otro tipo de actividades cotidianas y gratificantes que puedes tener en pareja. Todo porque un satélite puede hacer testigos a cientos de personas de lo que debería quedar entre 4 paredes.
Entérate.
http://es.youtube.com/watch?v=azmZFVlUXis
viernes, 21 de marzo de 2008
jueves, 20 de marzo de 2008
En Internet las cookies no sirven para comer
http://www.alfa-redi.org/rdi-articulo.shtml?x=612
Revista de Derecho Informático No. 030 - Enero del 2001
Los Cookies: ¿amenaza a la privacidad de información en la internet?
Abstract: Estas nuevas situaciones que están convirtiendose en parte de la cotidianeidad del S. XXI merecen una reflexión jurídica y en este capítulo nos dedicaremos a explicar los elementos principales del problema que abordamos; es decir, la proliferación de bases de datos, la aparición de la internet y los cookies, aspecto que motiva este trabajo el cual es sólo uno de los nuevos riesgos que enfrenta el hombre moderno. En el próximo capítulo intentaremos delimitar una noción de intimidad que sirva como herramienta a nuestro trabajo; por ahora, nos dedicaremos a plantear la realidad del fenómeno, a fin de dejar establecido el problema, antes de describir el estado de la cuestión en la doctrina jurídica.
Por Amílcar Mendoza Luna, Profesor de la Universidad Autónoma del Perú. Master en Derecho por la Universidad Tor Vergata en Roma- Italia (2006) y Magíster en Derecho Civil por la Pontificia Universidad Católica del Perú (2003). Abogado egresado de la PUCP, sus tesis de maestría y licenciatura en dicha universidad fueron calificadas como sobresalientes.
OTROS VÍNCULOS:
http://www.viegasociados.com/publicac/ProteccionDatosYDelitosInformaticos.pdf
http://www.informatica-juridica.com/autores/index.asp?letra=m
http://www.alfa-redi.com/rdi-articulo.shtml?x=1569
http://www.viegasociados.com/publicac/DerechoHumanos.pdf
“HAMLET: No entiendo bien eso. ¿Quieres tocar esta flauta?
GUILLERMO: Yo no puedo, señor.
(...)
HAMLET: Pues mira tú en qué opinión tan baja me tienes. Tú me quieres tocar, presumes conocer mis registros, pretendes extraer lo más íntimo de mis secretos, quieres hacer que suene desde el más grave al más agudo de mis tonos; y ve aquí éste pequeño órgano, capaz de excelentes voces y de armonía, que tú no puedes hacer sonar. ¿Y juzgas que se me tañe a mí con más facilidad que a una flauta?. No, dame el nombre del instrumento que quieras; por más que le manejes y te fatigues, jamás conseguirás hacerle producir el menor sonido.”
SHAKESPEARE, William. HAMLET (Acto III, Escena XVI)
1. INFORMÁTICA Y EL FLUJO DE INFORMACIÓN
Desde sus remotos orígenes, la sociedad humana ha experimentado diversas formas de integración y organización, así encontramos una primera etapa en que la riqueza era constituída por la tierra, más exactamente aún, por la posesión de esta. Luego; con la revolución industrial, la sociedad se organiza de acuerdo a la producción industrial, aparece la producción en masa y ciudades industriales que en su momento, inspiraron algunas de las obras de Dickens.
Actualmente, la riqueza es constituída por la sistematización de la información(1) , la cual empieza a tener valor económico y tener grandes consecuencias sobre las comunicaciones, el trabajo y la vida diaria en general. Uno de los aspectos más relevantes de esta etapa es la aparición de la Internet, la cual permite acceder a través de una computadora a sitios remotos que en vida tal vez nunca podríamos visitar; asimismo permite relacionarse con personas cuya lejanía espacial es reemplazada por una cercanía virtual. De esta manera, es posible comunicarse con varias personas distantes a la vez y acceder a información remota mediante newsgroup, sin limitaciones. Al respecto Bill Gates comenta: “Cualquier persona puede enviar ya un mensaje a otra, mediante la Internet, tanto para asuntos de negocios como de educación o formación o simplemente por diversión. Los estudiantes de todo el mundo se pueden enviar mensajes. Los presidiarios pueden entablar animadas conversaciones con amigos con los que nunca se podrán reunir.”(2) .
Sin embargo, la internet tiene sus riesgos, no siempre sabemos si la persona con quien nos comunicamos es verdaderamente quien dice ser(3) . y mucho menos podemos estar seguros que nuestra relación con la Red sea totalmente inocente, en realidad, podríamos dar más información personal de la que quisieramos ofrecer. Es algo que caracteriza a estos tiempos modernos, en que los satélites son capaces de fotografiar el interior de nuestras casas, minúsculas cámaras pueden ser introducidas en nuestros cuerpos, o que de un momento a otro una amable señorita, muy al tanto de varios detalles personales, a quien no conocemos nos llame para vendernos un seguro de vida mediante la modalidad del Marketing Directo.
“En etapas anteriores el respeto a la vida privada podía realizarse mediante el uso de los sentidos tales como la vista y el oído. Se permanecía así dentro de los límites de las relaciones naturales. Los muros de una casa, la soledad de un lugar desierto, incluso el tono expresivo oral de un susurro, eran suficientes para asegurar la protección de la intimidad y para excluir el conocimiento y la difusión de las acciones y de las palabras de un individuo o de varias personas unidas entre sí por el vínculo de la confidencia. Hoy es posible observar y escuchar a distancia, sin límites de tiempo, de espacio o de modo; se pueden realizar fotografías en la noche, establecer comunicación simultánea de imagen y sonido con distintos lugares gracias a los circuitos televisivos, dejar involuntariamente el testimonio registrado de la propia imagen o de las conversaciones mantenidas e, incluso, se pueden confesar los propios pensamientos sin el uso de la tortura física y casi inadvertidamente”. (4)
Estas nuevas situaciones que están convirtiendose en parte de la cotidianeidad del S. XXI merecen una reflexión jurídica y en este capítulo nos dedicaremos a explicar los elementos principales del problema que abordamos; es decir, la proliferación de bases de datos, la aparición de la internet y los cookies, aspecto que motiva este trabajo el cual es sólo uno de los nuevos riesgos que enfrenta el hombre moderno. En el próximo capítulo intentaremos delimitar una noción de intimidad que sirva como herramienta a nuestro trabajo; por ahora, nos dedicaremos a plantear la realidad del fenómeno, a fin de dejar establecido el problema, antes de describir el estado de la cuestión en la doctrina jurídica.
1.1- Uso de bancos de datos
Cabe distinguir entre las bases de datos y los bancos de datos. En primer lugar, la base de datos es el almacenamiento de datos referidos al aspecto informático; es decir, a la estructuración de los datos memorizados, los lenguajes de programación, etc. En tanto que los bancos de datos se relacionan con informaciones referentes a un sector particular del conocimiento, siendo un término más apropiado para ser utilizado en el almacenamiento de información en el campo social.(5) Nuestra investigación se orienta a los bancos de datos por la relevancia jurídica y social que tienen, la cual explicaremos en este sub capítulo.
Una vez aclarados estos términos, sería interesante hacer unas reflexiones sobre el mundo previo a la aparición de las bases de datos. Posiblemente nos encontremos con más de una sorpresa que nos ayuden a entender la magnitud del problema.
Philippe Lemoine nos llama la atención sobre un interesante hecho: hasta hace relativamente poco tiempo atrás ciertas personas no eran nombradas más que por su pequeño circulo de amigos durante toda su vida. “Su nombre era inscrito posiblemente, en un registro; era conocido si pertenecía a una familia o a un clan; era dado a leer a los viandantes, sobre la lápida sepulcral. Pero a nivel nacional ¿Quién se preocupaba por nombrarle?”.(6) En nuestro mundo actual somos llamados constantemente, todos los ciudadanos somos conocidos por la RENIEC, la SUNAT y las municipalidades a quienes pagamos tributos tienen registrados nuestros nombres, los bancos conocen nuestros nombres y cuentas de ahorros, la policía nos registra por nuestros antecedentes (o la falta de estos), ESSALUD o una AFP nos registra en su base de datos, la compañía de teléfonos también y si lamentablemente somos malos pagadores podemos aparecer entre los registros de una central de riesgo privado de alguna empresa(7) o de la Cámara de Comercio.
Múltiples registros nos arrebatan nuestro apacible anonimato, ¿en cuántos ficheros más tendremos registrados nuestros nombres?. Ciertamente es difícil decirlo porque constantemente los registros públicos y privados se reproducen como las cabezas de la medusa. Aparentemente, en cada actividad que realicemos nuestro nombre será registrado y además otros datos que nos conciernen, como la edad, sexo, ocupación, lugar de estudios, etc.
Es posible que revelar algunos datos básicos no nos moleste en algunos casos, pero en otros si sería inconveniente. Lo más interesante de todo es que reunida la información de cada fichero público y privado y realizando un “cruce” de información se arroje una orwelliana descripción de nosotros, incluyendo detalles que hubieramos preferido mantener en reserva o sólo para unos pocos oídos. En 1986 Philippe Lemoine escribía:
“Se dice que hay ya en Francia 100,000 ficheros automatizados de personas y que se prevé que el número de ordenadores instalados se triplique en los cinco próximos años. Según cálculos realizados en el extranjero, cada ciudadano tiene inscrito su nombre, por término medio, en más de 500 ficheros. Habida cuenta de las actualizaciones y de los procedimientos que se realizan de una forma contínua en estos ficheros, se puede decir que cada uno de nosotros es “nombrado” cuatro o cinco veces al día, por alguien que es desconocido o simplemente por una máquina”(8)
Seguramente la situación en Perú a inicios del siglo XXI debe ser similar. La técnica informática es capaz de convertir el aparentemente inocuo dato de nuestro nombre en valiosa información que puede tener uso comercial u otros fines. Nuestros nombres clasificados en múltiples registros arrojan información completa sobre nuestra personalidad y así como nosotros, de otras personas ya no tan “anónimas” como quisieran; peor aún, somos etiquetados sin siquiera saberlo o desearlo.
“Daniel Bel ponía de manifiesto los peligros que la informática hace correr a las libertades, al considerar el ordenador como una temible amenaza para el ciudadano, pues al agrupar todas las informaciones , que, tomadas por separado, apenas presentan interés por sí mismas, se puede llegar a conocer a un individuo de manera muy completa, conocimiento que facilita todos los controles y todas las manipulaciones, ya que cualquier oficinista sentado ante un terminal podría saber más de nosotros que nuestros más íntimos y viejos amigos(...) La utilización de la electrónica permite conservar, en ficheros separados, prácticamente todos los datos sobre una persona, y además poderlos conectar de forma inmediata con otros ficheros aunque estén físicamente muy distantes”(9)
Para comprender mejor el gran significado de este rotulado masivo, permítanos describir la situación en la Francia de la ocupación alemana. Entre 1940 a 1943, la Gestapo se dedicó febrilmente a sistematizar un registro de ciudadanos, el cual era incipiente en Francia. Se intentó dar a cada francés un número único de identificación. Antes todos los franceses estaban inscritos sin distinción de edad ni sexo. En cambio, los alemanes tenían un desagradable interés en la sistematización:
“La codificación utilizaba la primera de las trece cifras del número nacional de identidad, donde nos hemos acostumbrado a no ver más que los valores 1 (hombres) ó 2 (mujeres). De hecho, esta primera cifra puede tener diez valores y ser transformada en indicador de sexo y de la raza. El número en cuestión tendría entonces un significado del tipo siguiente: 1 (hombre ario), 2 (mujer aria), 3 (hombre judío), 4 (mujer judía), etc.(...) Cabe considerar el caso de Holanda, que disponía ya de un número nacional de identidad antes del año 1940, del mismo tipo que Francia quiso instituir en el año 1942, por suerte demasiado tarde. La existencia de este sistema significante de identificación es uno de los elementos que explican el hecho de que prácticamente el 100 por cien de los judíos holandeses fueran reconocidos, arrestados y deportados. Hasta tal punto eso es cierto que, aprendida la lección de esa experiencia, la administración holandesa se vale ahora de un número totalmente no significativo, con una tabla de correspondencia entre los nombres y esos números situada en un lugar minado que se puede hacer saltar por los aires en caso de invasión.”(10)
Cabe indicar que la labor de la Gestapo fue eficaz en su lucha contra la Resistencia francesa, aunque afortunadamente no fue suficiente. No habían computadoras en esa época. Pero ahora si las tenemos entre nosotros: ficheros pertenecientes a la Administración Pública podrían alentar los proyectos autoritarios de quienes posean dicha información o los ficheros privados simplemente podrían ponernos en manos de los comerciantes o industriales, quienes podrían sondear en el nivel de nuestros ingresos, hábitos de consumo, patrones de conducta, gustos y preferencias de cualquier índole y de esta manera convertirnos en “target audience”(11) o “público objetivo”(12) . Es más, la proliferación de bancos de datos que favorecen a la investigación científica “ha llevado a algunos a decir que por mediación de ellos podrían hacer espionaje industrial respecto a empresas y centros de investigación extranjeros. Basta colocar una especie de contador para saber qué preguntas hacen los usuarios, de lo cual es fácil deducir los proyectos de ese abonado, en qué investigaciones trabaja, etc.”(13)
A pesar de todo lo mencionado, se podría objetar que desde los inicios del Estado moderno se ha intentado llevar registros ordenados y su existencia no es una novedad. (14) Ese aspecto no está puesto en discusión, el verdadero problema es que la existencia de bancos de datos
“(...)ha hecho aumentar considerablemente la amenaza potencial del derecho a la intimidad, toda vez que los nuevos soportes de almacenamiento (discos y tambores magnéticos, etc.) han permitido aumentar en grandes proporciones la cantidad de información sobre cada persona y, al mismo tiempo ha dado posibilidades enormes de intercomunicabilidad y difusión de los ficheros. ¿Es real esta amenaza? Por supuesto que técnicamente todo es posible, pero junto a ello tenemos también esa dependencia cultural, el imperialismo de la lengua inglesa, etc. Y solamente podemos responder creando nuestros propios bancos de datos, y esto es lo que están empezando a hacer los europeos y japoneses (...) cada vez es mayor el número de personas que se estremecen al sentir que la masa de datos escapa a su control y al pensar que sus vidas pueden sufrir daños debido al encadenamiento y al mal uso de sus registros que hay almacenados en una serie de bancos de datos”.(15)
Sobre este aspecto Pérez Luño advierte que:
“Desde los años setenta es notorio que bancos de datos del sector público norteamericano, pertenecientes al Pentágono, la CIA o el FBI, procesan informes sobre actitudes individuales y comportamiento político que afectan a millones de ciudadanos. Datos que recabados en función de la defensa nacional o de la seguridad pública han servido, en determinadas ocasiones, para prácticas de control político y discriminación ideológica. La comunidad académica de USA sufrió una conmoción al saber que, durante la etapa de contestación estudiantil, diversas universidades que contaban con bibliotecas informatizadas proporcionaron a la policía relaciones exhaustivas de las lecturas de aquellos profesores y/o alumnos sospechosos de ser contestatarios o disidentes. Desde hace años las agencias de información comercial y de crédito norteamericano almacenan datos personales que conciernen a cientos de millones de individuos, que tras su adecuada programación, pueden transmitirse a clientes en más de 10,000 aspectos diferentes (por edad, profesión, sexo, ingresos, automóvil o vivienda poseídos, pertenencia a sindicatos, partidos o sociedades mercantiles, culturales o recreativas”.(16)
Nadie duda que las computadoras y los bancos de datos son esenciales para el hombre contemporáneo, lo que se quiere evitar es anular su intimidad y convertirla inescrupulosamente en objeto de explotación económica o vehículo de control político.(17) El uso de los bancos de datos es una veta económica a la cual es difícil renunciar y lógicamente tiene que encontrar defensores:
“La autopista de la información podrá seleccionar los consumidores de acuerdo con matices más precisos y enviar una publicidad diferente para cada uno. (...) Se pueden recopilar y distribuir datos sobre las preferencias de cada uno sin violar la privacidad de nadie, porque la red interactiva podrá utilizar información sobre los consumidores para encaminar la publicidad sin revelar qué hogares específicos son los que la reciben. Una cadena de restaurantes podría saber solamente que recibieron el anuncio una determinada cantidad de familias con ingresos medios y niños pequeños (...)Uno de los modos que tendrán los anunciantes de captar nuestra atención será ofrecernos una pequeña cantidad de dinero, unos céntimos por ejemplo, cuando miremos un anuncio (...) los anunciantes procurarán enviar mensajes pagados solamente a aquellas personas que reúnan determinadas características demográficas”.(18)
Al respecto, podría argumentarse que aún no hay seguridad total en la reserva de los bancos de datos y que no se realicen cruces entre ellos, y el simple hecho que los anunciantes estén dispuestos a pagar para ser escuchados involucra la aceptación de la titularidad del derecho a la intimidad y ese pago es una compensación encubierta.
Con el tiempo, las personas preferirían el dinero recibido a cambio de parcelas cada vez mayores de su intimidad.
1.2- Seguridad en la Información
A medida que más personas empiecen a usar la red y comience el auge del comercio electrónico, nuestras navegaciones por la red dejaran rastros cada vez más visibles, porque hay que aceptar que la tecnología avanza a una velocidad vertiginosa y por tanto, las cookies podrían ser desplazadas por sistemas más sutiles y eficaces de capturar información.
La tecnología que acecha nuestra intimidad podría ofrecernos soluciones mediante la criptografía, también podría ofrecernos programas que permitan nuestro anonimato o nuevos protocolos de comunicación que nos permitan dirigir a quiénes entregamos información y dosificarla verdaderamente. Pero, esta alternativa que a primera vista parece la más adecuada y fácil ofrece problemas. El primero es que seguramente los que comercian con la información serán los primeros interesados en vender ese software a precios poco accesibles lo cual degenerará en unos pocos afortunados que puedan pagar por su privacidad. Si lo ofreciesen gratuitamente podrían pedir igualmente nuestros nombres para la licencia de uso (lo cual ocurre en cualquier utilitario al cual hagamos un download).
Otra alternativa que nos ofrece la informática es la que Perez Luño nos advierte respecto a los “Ficheros Robinson”. De acuerdo con Pérez Luño, el mismo nombre ya indica un juicio de valor. Quiere sugerirnos la idea que el ciudadano normal acepta sin nigún problema que su vida privada sea contaminada
“ (...) por los intereses consumistas de los mercaderes de la publicidad. El ciudadano insólito será aquél que se obstine en salvaguardar su derecho fundamental a la intimidad y se autoconfina en un aislamiento parangonable al sufrido por Robinson en su isla solitaria. Podría objetarse a este torpe mensaje ideológico subliminal que precisamente son las sociedades tecnológicas del presente las que han dado origen al fenómeno de las “muchedumbres solitarias” de seres gregarios, espectadores inertes y manipulados por y desde mil formas de propaganda. Todavía es más importante aducir que en un Estado de Derecho ningún ciudadano debe verse obligado a inscribirse en un archivo adicional de datos para que sean respetados sus derechos y libertades. Parecería grotesco que, en una sociedad democrática, el respeto de la dignidad, de la libertad personal o de conciencia, o el secreto de las comunicaciones quedara limitado a aquellos ciudadanos que expresamente lo solicitaren”.(19)
En nuestra opinión no podría confiarse en que las propias empresas renuncien a invadir la privacidad e intimidad de las personas, menos aún que la tecnología se inhiba de crear nuevos mecanismos de captura de información, toda ayuda que ofrezca la tecnología es bienvenida sin duda alguna, pero se necesita la intervención del derecho a fin de garantizar los derechos fundamentales de cada ciudadano.
1.3- Cookies
Los bancos de datos a los cuales nos hemos referido durante este trabajo, pueden ser canjeados, comprados o secuestrados judicialmente por empleadores, aseguradoras, ex cónyuges pidiendo alimentos y otras personas o entidades. Como ya hemos indicado su valor económico las convierte en muy apreciadas fuentes de riqueza.
En la Internet casi todo es gratis, salvo excepciones como el software o páginas de contenido erótico; por eso, la forma más rápida de hacer dinero en la red es mediante la publicidad e Internet ofrece grandes posibilidades. Las cookies favorecen la captura de información. En realidad, son huellas electrónicas que posibilitan a las páginas web y redes publicitarias el control de nuestros movimientos.
En términos técnicos son:
“(...) mecanismos que permiten que programas CGI (Common Gateway Interface- Compuerta de interface Común, es una interface para que programas externos-pasarelas- puedan correr bajo un servidor de información. Actualmente, los servidores de información soportados son servidores Http-Hipertext Transfer Protocol) y scripts JavaScript puedan almacenar y recuperar información en el lado del cliente de la conexión (el browser), lo que permite generar información sobre el cliente y utilizarla como una funcionalidad más. En realidad, la información se almacena exclusivamente en un archivo habilitado para esta función (cookies.txt o simplemente cookies). Este mecanismo no se puede utilizar para examinar el disco del cliente ni para modificarlo”.(20)
Las Cookies son una potente herramienta para almacenar o recuperar información empleada por los servidores web debido al protocolo de transferencia de ficheros (http). Este protocolo tiene la característica de no tener estados (no almacena el estado de la sesión entre peticiones sucesivas), en tal situación entra la cookie para conservar la información. Poseen una fecha de caducidad (de una sesión a una fecha futura). Los riesgos ya los conocemos: recopilación de gustos, preferencias, hábitos, nombre y contraseña, y además que algún experto podría manipular estos archivos. Los cookies tienen una serie de limitaciones estandar, por ejemplo si se tienen 200 cookies almacenadas cuando entre la 201 se borrará la más antigua. (21)
Afortunadamente, gran parte de los browsers disponen de mecanismos para desactivar la lectura y escritura de Cookies, y además un servidor sólo puede acceder a las líneas que haya generado. Pero también hay que tener en cuenta que el lenguaje Java es muy común en Internet y es fácil habilitar una cookie sin nuestro conocimiento.
Desde hace unos años Double Click, la mayor agencia colocadora de anuncios en Internet, ha realizado una labor compiladora de datos sobre los hábitos de navegación cibernética insertando cookies en millones de discos duros de computadoras en todo el mundo, lo cual no es poca cosa si evaluamos la población de usuarios de internet por regiones en 1997 y su proyección al año 2000 que a continuación presentamos(22) :
[...]
El objetivo de usar los cookies es permitir a los sitios y redes publicitarias el control de nuestros movimientos en la red, lo cual incluye cosas tan elementales como la simple búsqueda de palabras en un motor de búsqueda (como Altavista, Yahoo, Excite, etc.), lectura de artículos o páginas web. Una vez que el navegante de internet visite alguno de los sitios de los 2,500 clientes de Double click, estará listo para el abordaje de anuncios “personalizados”, precisamente del mismo tipo que Bill Gates comentaba en “Camino al futuro” y que mencionamos anteriormente.
En noviembre de 1999 esta empresa compró Abacus Direct, la cual era un banco de datos con nombres, domicilios e información acerca de los hábitos de compra no electrónica de 90 millones de hogares. En enero del 2000 empezaron a compilar perfiles que vinculaban a nombres y domicilios de personas reales con sus compras electrónicas y convencionales. Esta política recibió severa resistencia por los defensores de la intimidad de Estados Unidos y asociaciones de consumidores.(23)
No es el único ejemplo del potencial peligro de las cookies.
“(...) en mayo de 1998, Al Gore encargó al FTC (Federal Trade Comission) un estudio acerca de la privacidad en Internet. Los deseperantes resultados aparecieron en junio: de 1400 websites comerciales visitados, un 85% recogían y almacenaban datos personales de los visitantes. Sólo un 14% daban alguna indicación acerca de la privacidad de la información recogida y sólo un 2% ofrecía una política a favor de los usuarios con sentido”.(24)
Esta constatación nos muestra que en Estados Unidos se ha visto la captura de información como una nueva “golden rush”, una nueva búsqueda de oro. Las empresas para inhibirse de empezar a transar con esta “mercancía” deberán recibir alguna compensación si seguimos las leyes del mercado. Si no recurren a comprarnos nuestros datos como sugiere Bill Gates, podría ocurrir que la misma privacidad sea un producto en venta, ofreciendo software costoso para inhabilitar las cookies o mecanismos similares que la reemplazarán. Si fuese así, sólo las personas que tienen mayor poder adquisitivo estarán a salvo y los demás que realizan conexiones baratas no lo estarían y la información sobre ellos circularía en todo el mundo(25) .
2. Privacidad en el acceso a la información y derecho a la intimidad
En este capítulo veremos cual es el significado de la intimidad según la doctrina actual, una vez definido que se trata de la autodeterminación informativa de la persona se examinará que información es de naturaleza tan sensible que no debe estar presente en un banco de datos. Asimismo, se estudiará el funcionamiento de estos últimos y la manera en que la legislación de otros países y el nuestro se han ocupado del tema, pretendemos en este punto explorar las consecuencias del consentimiento de brindar la información para lo cual recurriremos nuevamente al ejemplo de los ficheros “Robinson” que Pérez Luño cita. Por último, se abordará el tema de la acción de garantía denominada Hábeas Data, la cual es una novedad de nuestra Constitución de 1993.
2.1- Derecho a la intimidad y a la privacidad
Antes de desarrollar el tema, cabe indicar que en el Perú se ha reconocido el derecho a la intimidad en las Constituciones de 1979 y 1993, el Código Civil de 1984 y el Código Penal de 1991, marcando el desarrollo de dicho derecho, el cual es aún incipiente tanto a nivel doctrinario como jurisprudencial(26) ; al contrario de la tradición jurídica norteamericana por citar un caso.
Antonio Pérez Luño comenta que para medir el índice de actualidad de los distintos derechos fundamentales un método efectivo consiste en comprobar la frecuencia e intensidad con la que cada derecho es violado e indica que la intimidad es el derecho fundamental con mayor número de modalidades de violación y víctimas potenciales, además menciona que era el derecho más apreciado por los hombres civilizados según un célebre voto disidente de una sentencia de 1928 de la Suprema Corte norteamericana y un informe británico elaborado en 1971 por el Younger Committee on Privacy.(27)
Entonces, ¿en qué consiste este derecho tan apreciado?. Hay que comenzar aclarando que como todo derecho se ejerce en relación a otras personas: la soledad o aislamiento total no tiene relevancia jurídica.
El estado actual de la doctrina(28) es de entender a la intimidad como un legítimo derecho a no revelar a los demás determinados aspectos de sus relaciones con otras personas, que el titular del derecho juzga deben permanecer en un plano reservado o privado. Esta facultad recibe el nombre de autodeterminación informativa(29) de acuerdo con una célebre sentencia del 15 de diciembre de 1983 del Bundesverfassungsgericht alemán sobre la Ley del Censo de Población, en la cual se indicó que consiste en la libertad del ciudadano para determinar quién, qué y con qué ocasión puede conocer y/o utilizar datos que le afectan(30) .
En palabras de Molina Mateos es una libertad considerada como facultad de autodeterminación en la esfera informativa y respecto al procesamiento de datos de carácter personal.(31) Según Vittorio Frosini:
“Esta no es ya el antiguo right to privacy como derecho a la intimidad entendida como separación y defensa de la sociedad; es un nuevo derecho social de libertad; no es ya únicamente el derecho de negar la información sobre sí mismo, sino también el derecho de pretenderla. La libertad informática es el derecho de disponer de la información, de preservar la propia identidad informática, o lo que es lo mismo, de consentir, controlar, rectificar los datos informativos concernientes a la propia personalidad; al derecho de informar y de ser informado se ha agregado el derecho de proteger la libertad de la información como un bien personal y un interés civil.”(32)
Actualmente debemos entender el derecho a la intimidad como un derecho personalísimo, vinculado a la dignidad de la persona. Hace referencia a un espacio propio, en otras palabras, privado, pero éste sólo puede adquirir un pleno sentido frente a los otros, es decir tiene una dimensión personal y otra social, que es la que nos interesa en este trabajo(33) .
Cabe indicar que el término “privacy” tiene raigambre anglosajona y que en nuestra tradición jurídica se ha preferido el término intimidad. La privacidad es entendida como la información personal confidencial, desarrollada en un espacio privado la que no debe ser expuesta a terceros, pues su conocimiento podría ocasionar un manejo de la información que no es deseado o que incluso es motivo de rechazo por la persona.(34) A lo largo de nuestro trabajo, preferiremos usar el término intimidad, el cual ha tenido acogida en nuestra legislación.
2.2- Información que no puede divulgarse y colisión con la libertad de información
El derecho a la intimidad, el cual implica autodeterminación informativa, nos indica que existe información estrictamente privada que la persona no desea hacer conocer a otros. Puede tratarse de datos personales como las creencias religiosas, trabajos anteriores, convicciones políticas, compras habituales, enfermedades que bien podrían no ser conocidas por su entorno y a la persona le resulte dañino que se conozca, la hoja médica de los pacientes, récords de estudios, estado civil, las informaciones en poder de la administración pública como las declaraciones tributarias, las adquisiciones de valores mobiliarios o transacciones financieras (las cuales están protegidas por la reserva en el ámbito bursátil y bancario), el mismo domicilio de la persona (es interesante recordar que en la época del terrorismo en las guías telefónicas no aparecían las direcciones domiciliarias sino tan sólo los teléfonos, en nuestra opinión esta información debe mantenerse como privada porque en nuestro medio al terrorismo le ha sucedido la delincuencia común, que incluye los secuestros), número de tarjetas de crédito, etc.
Existe el caso del website “Nuremberg”, el cual fue mantenido por grupos antiabortistas que como forma de protesta decidieron publicar la información personal de los médicos que practican el aborto en Estados Unidos (lo cual parece una forma muy sutil de invitación al delito y dejar a estos profesionales inermes ante el peligro). Esa información era tan completa que incluía la dirección, el teléfono, la matrícula del auto, etc. Este website fue cerrado por orden de los tribunales y sus autores fueron multados. He aquí que encontramos un conflicto entre la intimidad y el derecho a la información, en el cual tuvo prevalencia el primero de los nombrados.(35)
De acuerdo con la Comisión de Estudio sobre la Protección de la Intimidad, (Privacy Protection Study Commission creada en 1974 en Estados Unidos)los principios básicos que debe establecer el legislador para proteger la intimidad y las libertades individuales en una sociedad democrática son los siguientes:
1. El reconocimiento a cada individuo del derecho de acceder a la información personal que le afecte, especialmente a la existente en los bancos de datos informatizados.
2. El reconocimiento a cada individuo del derecho de controlar, de forma razonable, la transmisión de la información personal que le afecte.
3. Para garantizar el derecho a la intimidad individual las leyes deben regular: a) la libertad del período de tiempo durante el que se pueden conservar los datos personales, b) la definición de los objetivos para los que puede usarse esta información, que, además han de declararse en el momento de recoger los datos, c) garantías para hacer efectiva la calidad de los datos personales, en otras palabras, su veracidad, integridad y actualidad, d) la prohibición de la revelaciónd e datos personales.(36)
2.3- Regulación de los bancos de datos
2.3.1- Legislación supranacional
Podemos mencionar múltiples ejemplos de legislación nacional que se ocupa del tema, sin embargo previamente mencionaremos algunos casos de legislación &supranacional.(37)
- Organización para la Cooperación y Desarrollo Econó-mico (OCDE), la cual es una organización internacional intergubernamental que reúne a los países más industrializados de economía de mercado. En 1978, formó un Grupo de Expertos que elaboró un conjunto de Directrices, referentes a la intimidad personal y a las transmi-siones internacionales de datos, que fueron adoptadas por el Consejo de Ministros de la OCDE, en forma de recomendación a los Estados miembros, el 23 de septiembre de 1980.
Estas Directrices recomiendan a los Estados cuatro principios básicos:
a) los Estados deben tener en cuenta las implicaciones del procesamiento interno y reexportación de datos personales a otros Estados (parágrafo 15). Pone de relie-ve la necesidad de un respeto mutuo entre los Estados en el área de la protección de datos personales y la vida privada.
b) cada Estado debe tomar las medidas razonables y apropiadas para que las transmisiones internacionales sean ininterrumpidas y seguras, incluso cuando se realizan a través del territorio de un Estado miembro.
c) los Estados deben evitar, en general, restringir las trans-ferencias internacionales de datos personales, excepto cuando: 1) los Estados receptores “no observen” el contenido de las Directri-ces; 2) cuando la reexportación de datos personales eluda las disposiciones internas del Estado transmisor; ó 3) cuando ciertas categorías de datos personales –por ejemplo: datos sensibles- reciban una protección especial en la legislación interna y tal protección no sea equivalente en otros Estados;
d) los Estados deben evitar adoptar disposiciones normativas, políticas y prácticas legales cuando: 1) la única finalidad sea proteger la intimidad y las libertades individuales, si para ello se obstaculiza la transmisión internacional de datos; 2) el conte-nido de las disposiciones exceda de la normativa ya existente sobre el tema. Con esta cláusula, las Directrices intentan buscar un equilibrio entre la protección de la intimidad y la libre &circulación internacional de información.
- Directiva 95/46/CE de la Comunidad Europea sobre la protección de los individuos en relación al procesamiento de datos personales y sobre la libre circulación de esos datos, del 24 de octubre de 1995.
A fin de remover los obstáculos al libre movimiento de datos sin dejar de garantizar la protección del derecho a la privacidad, se aprobó esta Directiva que armoniza las normas nacionales en la materia. De este modo, el derecho a la intimidad de los ciudadanos goza de una protección equivalente en toda la Comunidad. Contiene el desarrollo internacio-nal más importante en materia de protección de datos de la última década. En tal sentido:
a) establece los principios para la protección de la privaci-dad a nivel europeo que deben ser incorporados a la legislación de todos los Estados miembros. Por lo tanto, representa el más moder-no consenso internacional sobre el contenido deseable del derecho a la protección de datos y constituye un modelo valioso para otros países y,
b) prohíbe la transferencia de datos personales desde la Comunidad a cualquier Estado no miembro que no tenga leyes de protección de datos “adecuadas”, lo cual impone un grado de pre-sión internacional para que aumente el nivel de protección en los demás países, particularmente en el sector privado.
2.3.2- Legislación extranjera
En Internet, muchos usuarios hacen circular archivos, expedientes o correo confidencial mediante attachment u otra manera, pero esa no es la única información involucrada, el sólo conocimiento del destinatario puede convertirse en una información valiosa.
Como ya se ha indicado, para los cazadores de información es una presa demasiado suculenta para ignorarla, aunque en nuestro trabajo nos concentramos en el sector privado, hay que aceptar que en el sector público los daños pueden ser mayores por la gran variedad de bancos de datos que existen en cada entidad pública.
Según Hance(38) , la legislación europea y la de América del Norte hace una distinción entre “ser monitoreado” por una autoridad pública o por un usuario privado. En la mayoría de estos países, se considera a la privacía como un valor que merece protección, aunque los medios legales para hacerlo varían de un país a otro, en algunos casos la ley es la que protege y en otros casos la jurisprudencia lo hace. Lo importante es que la protección contra el monitoreo público y privado existe por igual, siendo estrictamente regulado el procesamiento de datos personales (tanto en el sector privado y público europeo y en el sector público de Estados Unidos y Canadá) o está sujeto a la autorregulación (con referencia al sector privado de estados Unidos y Canadá).
La autorregulación empresarial ha sido blanco de varias críticas, porque al contrario de la confianza que tiene Hance en esta opción, existen expertos que la ven con desconfianza por varias razones, una de ellas es que no pasa de ser una colección de tópicos de buena voluntad. No hay precisiones ni se indica que el usuario pueda consultar la base de datos para ver que información ha sido capturada sobre él, saber que pasa con sus datos si una empresa es absorbida por otra (o comprada, recordemos el caso de Double Click), conocer si hay cookies, donde se almacenan y qué tipo de perfiles se generan de cada usuario. Como ya hemos dicho, la autorregulación depende de la buena voluntad de las empresas, pero bien sabemos que las empresas no tienen como fin la buena voluntad sino el lucro (lo cual es natural, para eso existen; sostener lo contrario sería ilógico) y por tanto, en cualquier momento podría cambiarse la mencionada buena voluntad, que no tiene que ser unánime en todo el sector empresarial, y podemos encontrar empresas sin buena voluntad con mucha facilidad, en tal caso el usuario no podría protestar porque no tendría a quien dirigirse. Puede ser que la empresa en verdad crea en la buena fe, pero puede ser comprada por otra, ser absorbida, sufrir un cambio de directorio o cambiar su giro a la venta de datos personales.(39)
La legislación estadounidense no regula la creación de archivos computarizados de datos personales en el sector privado, lo cual no está contemplado en el Electronics Communications Privacy Act de 1986 el cual se dirige al sector público, y lo mismo ocurre con el Privacy Act de Canadá (1985).
En Europa se ha recogido la experiencia norteamericana y extendido sus efectos al sector privado. Por ejemplo, en Alemania la Ley Federal de Protección de Datos del 27 de enero 1977, Bundesdatenschutzgesetz, que se caracterizó por regular la protección de datos en el sector público sino también disciplina la utilización informática de datos personales por parte de las empresas privadas, además crea un comisario federal para supervisar esta cuestión y crea un responsable del cumplimiento de esta ley en cada departamento administrativo o empresa privada que elaboren automáticamente este tipo de información.(40)
Pero este no es el único aspecto interesante de esta ley, también encontramos un decálogo de las actuaciones que es necesario efectuar para impedir el acceso indebido a los bancos de datos por parte de terceros.
I. Impedir a las personas no autorizadas el acceso a los aparatos con los que se elaboran datos personales.
II. Impedir que quienes llevan a cabo la elaboración de datos personales transporten sin autorización los soportes que los recojan.
III. Impedir la inserción no autorizada de datos personales en la memoria, al igual que el conocimiento, modificación o cancelación de los memorizados.
IV. Impedir la utilización por parte de personas no autorizadas de sistemas de tratamiento de datos, los cuales, de los cuales, en los cuales o a través de los cuales se transmitan informaciones personales por medio de dispositivos autónomos.
V. Asegurar que las personas autorizadas para utilizar un sistema de elaboración de datos mediante dispositivos autónomos únicamente puedan acceder a aquellos datos personales contemplados en la autorización.
VI. Asegurar que se pueda controlar y verificar posteriormente a qué centros se pueden transmitir datos personales mediante dispositivos autónomos.
VII. Asegurar que se pueda controlar y verificar posteriormente qué datos personales han sido introducidos en un sistema de elaboración de datos, cuando y por quién.
VIII. Asegurar que los datos personales, elaborados a requerimiento de terceros, sólo se traten de acuerdo con las instrucciones del requirente.
IX. Asegurar que en la transmisión de información personal, así como en el transporte de los correspondientes soportes, aquella no puede ser leída, modificada o cancelada.
X. Orientar la organización empresarial interna y externa de manera adecuada a las particulares exigencias de la protección de datos.
Ante realidades del mundo moderno como las adquisiciones de Double Click y otras empresas, nos parece interesante llamar la atención sobre el sexto postulado. Hay una restricción a la transmisión de los contenidos del banco de datos y es un aspecto de especial importancia en nuestro trabajo teniendo en cuenta que si mediante los Cookies obtenemos información y lo complementamos con bancos de datos de empresas adquiridas, fusionadas, absorbidas o que se dedican a este negocio, el poder que se puede obtener es fabuloso y demasiado tentador como para pensar en autorregulaciones empresariales, en tal sentido, a riesgo de adelantar nuestra opinión, nos parece bien que haya regulación en el sector privado referida a los bancos de datos.
En Francia, la Ley Nº 78-17 del 6 de enero relativa a la informática, ficheros y libertades; exige como requisito previo al comienzo de las actividades de un banco de datos, su autorización previa por ley o acto reglamentario si se trata de un organismo público o de una entidad particular que presta un servicio público. En cambio, para las agencias privadas basta una comunicación previa.
Portugal fue el primer país en constitucionalizar la protección de datos (artículo 35 de la Constitución de 1976). De esta forma se contemplaron el derecho de acceso, la prohibición de informatizar datos sensibles personalizados y el rechazo rotundo al número personal de identificación (recordemos el ejemplo mencionado sobre la II guerra mundial).
En Inglaterra destacan el Younger Report de 1972 y el Data Protection Act del 12 de julio de 1984 en cuyos 8 principios se pretendió condensar su significado(41) :
I. Los datos personales han de recogerse y procesarse con lealtad y legalmente.
II. Los propósitos para los que se recogen datos personales deben ser legales y han de especificarse.
III. El uso y revelación de datos personales deben ser compatibles con los propósitos para los que se conservan los datos.
IV. La calidad y extensión de los datos personales deben ser adecuadas, pertinentes y proporcionadas a los propósitos para los que se conservan.
V. Los datos personales han de ser precisos y deben actualizarse cuando sean necesario.
VI. No se pueden conservar los datos personales más tiempo que el estrictamente necesario para la consecución del propósito perseguido.
VII. Toda persona tiene derecho: a) a intervalos razonables y sin retrasos ni gastos injustificados – a.i) a ser informado por quien los maneja de si conserva datos personales suyos; a.ii) a acceder a tales datos: y b) cuando sea preciso, a rectificar o cancelar dichos datos.
VIII. Es preciso adoptar medidas de seguridad adecuadas para proteger los datos personales contra el acceso no autorizado, su alteración, revelación o destrucción o su pérdida accidental.
En España es importante destacar a la LORTAD, La ley Orgánica 5/1992 de 29 de Octubre de regulación del tratamiento automatizado de los datos de carácter personal, (42) la cual se sujeta al artículo 18.4 de la Constitución Española, dirigido a la limitación del uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos, y el ejercicio legítimo de sus derechos. Limita el uso de la informática por considerar que la existencia de bancos de datos de carácter personal son un riesgo para el derecho a la intimidad, por esta razón se intenta prevenir violaciones a la intimidad, derivadas del tratamiento de la información. En palabras de MOLINA MATEOS: “La LORTAD, no es una ley de seguridad de la información, ni tampoco una norma destinada a limitar el uso y abuso de la informática de forma general, sino que está referida específicamente a la regulación del tratamiento de datos personales.” Sin embargo, cabe indicar que esta norma sobre la cual la doctrina española se ha ocupado ampliamente ha sido reemplazada por la Disposición Derogatoria Unica de la nueva Ley de Protección de datos de carácter personal de España del 13 de diciembre de 1999.(43) Esta nueva Ley Orgánica tiene como ámbito el sector público y privado y tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Entre los varios aspectos de los que se ocupa estan las seguridades ofrecidas a las personas sobre el recojo de información con pleno conocimiento de sus fines, de los alcances de su consentimiento en otorgar información, etc.; también regula la Agencia de Protección de Datos en lo que a su naturaleza jurídica y funciones concierne, así como las sanciones que es capaz de imponer.
2.4- ¿El Hábeas Data puede abarcar estos casos?
El Hábeas Data es una novedosa garantía constitucional prevista en el artículo 200 inc. 3 de la Constitución Política del Perú de 1993 que “procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2 en sus incisos 5, 6 y 7 de la Constitución”.
Se reconoce el derecho de todo ciudadano a solicitar información de cualquier entidad pública, sin expresión de causa salvo que afecte la vida privada de las personas o por seguridad nacional.
“Artículo 2: Toda persona tiene derecho: (...)
5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.
El secreto bancario y la reserva tributaria pueden levantarse a pedido del juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado.
6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
7. Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias.
Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley”.
Estos artículos fueron motivo de intenso debate en la Comisión de Constitución del CCD. Por Ejemplo cuando se discutía el inciso sexto se mencionaba incluir las excepciones que ahora están mencionadas en el artículo 200. Pero a los legisladores interesaba otorgar la facultad de que las personas
“tengan la facultad de exigir en primer lugar, que los servicios informáticos públicos o privados, vale decir la información computarizada, suprima informaciones de las personas, cuando estas informaciones a juicio del titular del derecho dañen a su persona (...) por ejemplo en materia biológica de conformación personal, si alguna persona tiene un defecto personal desconocido y que solamente él lo conoce”(44)
También tuvo que aclararse el aspecto de suministro de información, porque el hecho que exista información confidencial no podía significar un delito como podría serlo su mal uso. Debía existir entonces una obligación de confidencialidad.(45)
Por último, indicaremos que hubo discusión por la palabra “personal” del inciso sexto:
“(...) es la dificultad en precisar el contenido de la palabra “personal”, porque hay informaciones personales que no son de carácter privado o íntimo, en cambio hay informaciones personales que (...) es normal que sean de conocimiento público. Entonces ahí ingresamos al problema de la intimidad y la privacidad. Entonces, cuando hablamos de datos personales, nuestro nombre –por ejemplo- es un dato personal que es público, pero es un dato personal; en cambio nuestras costumbres en comida o los viajes que hemos realizado o la manera como se desarrolla la vida en el hogar, son datos de carácter íntimo o datos de carácter privado.”(46)
Puede observarse que las personas no pueden oponerse a la creación del banco de datos, pero si pedir información, su rectificación o que no entregue información que afecte la intimidad personal y familiar.
Según Morales Godo cuando el inciso 6 se refiere a servicios informáticos, computarizados o no, públicos y privados, son comprensivos de los existentes en los medios de comunicación, sin embargo, ello puede impedir que se suministre información sobre datos que corresponde a su intimidad personal y familiar. Es una función preventiva del Hábeas Data.(47)
El mencionado autor opina que no se puede impedir que la información se divulgue porque sería una censura previa al constituir una limitación a la libertad de expresión. Pero en caso que transgredan los derechos cabe el proceso judicial, podrían demandarlos por indemnización.
Está claro que respecto al tema de los cookies, no hay norma expresa aplicable, es decir el caso de captura indeseada de información no ha sido contemplado, el control que puede hacer el ciudadano es ex post.
Pero con respecto a los bancos de datos ya creados se puede pedir información, impedir el suministro de la información que afecte la intimidad personal o familiar o solicitar la rectificación de la misma.
3. Retos de la nueva tecnología
3.1- La regulación actual ¿es suficiente?
Un indicador de la confianza en una norma es el uso que esta recibe, hasta ahora no hay muchas acciones de Habeas Data, pero hemos encontrado que el público pide la mediación de la Defensoría del Pueblo(48) cuando se trata de controlar los bancos de datos públicos:
“Por tanto, la Defensoría del Pueblo está facultada a interponer y/o intervenir en calidad de amicus curiae o tercero en los procedimientos de Habeas Data. Dicha garantía constitucional procede contra el hecho u omisión por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2º inciso 5) y 6) de nuestra Constitución, es decir, el derecho de todos los ciudadanos o ciudadanas a solicitar sin expresión de causa, información que requiera y a recibirla de cualquier entidad pública. Dicha información debe ser entregada dentro del plazo legal y el costo que suponga el pedido será asumido por el solicitante.
Asimismo, incluye el derecho a que los servicios informáticos, computarizados o no, públicos y privados, no suministren informaciones que afecten la intimidad personal y familiar. Es decir, la no afectación de la intimidad personal por servicios informáticos.
Si bien la Defensoría del Pueblo aún no ha intervenido en procesos de hábeas data, pues no han sido mencionados en los informes defensoriales, si se han presentado pedidos de ciudadanos y ciudadanas que no han podido acceder a información por negativa de las autoridades del Estado.”(49)
Como podrá observarse esto no es suficiente porque la Defensoría sólo tiene dentro de su competencia al Sector Público, respecto al sector privado las personas que quieran plantear algún reclamo deberan presentar una acción de Hábeas Data sin otro apoyo que ellos mismos.
En este sentido, nos parece que el Proyecto Nº 5233-CR, Proyecto de Ley sobre la privacidad de los datos informáticos y la creación del Comisionado para la protección de la privacidad puede representar un valioso aporte a la legislación vigente.
Presenta varias ventajas que es necesario indicar, por ejemplo, se aplica al sector público y privado, así como para personas naturales y jurídicas que construyan, mantengan o tengan accesos a bancos de datos quienes adquieren la obligación de proteger estos datos. También reglamenta el inciso sexto del artículo 2º de la Constitución. El proyecto de ley busca implantar mecanismos cautelares que prevengan las violaciones de la privacidad que pudieran resultar del tratamiento de la información y dispone las obligaciones y prohibiciones de las personas naturales y jurídicas que manejen, posean o accedan a bancos de datos o ficheros automatizados. Es interesante que el Proyecto mencione principios para la protección de datos (arts. 4 a 11), algunos de los cuales hemos mencionado anteriormente cuando nos fijamos en la legislación extranjera: principio de justificación social, limitación de la recolección, calidad de la información, especificación del propósito, confidencialidad, salvaguarda de la información, transparencia, control y participación individual. Crea también el Comisionado para la Protección de la Privacidad que a diferencia del Defensor del Pueblo tendría función de agente sancionador de las infracciones a la ley, sin duda este último aspecto es el mayor aporte del Proyecto. Creemos que su discusión y posterior aprobación beneficiará a la ciudadanía.
3.2- ¿Los cookies son una verdadera amenaza?
Como muchas cosas emprendidas por el hombre, las cookies no nacieron para capturar información sino que tenían como objetivo favorecer al usuario, como archivos de texto fueron pensados para que el usuario de una página no tuviera que repetir datos como claves de acceso, números de tarjeta de crédito, etc. cada vez que accediese a ella. Pero ahora se han convertido en archivos que a priori pueden rastrear información en el disco duro de los usuarios,(50) a favor de empresas como Doubleclick, NetGravity o IntelliWeb, que siguen al usuario con fines comerciales y crear un perfil del mismo para ingresarlo en su banco de datos.
Este instrumento de captura de información puede infringir las normas sobre intimidad, y afectar información sensible que atañe únicamente a una persona. Podría decirse que puede desactivarse la cookie y si no se hace es un consentimiento, pero la desactivación incluye instrucciones que no siempre se conocen. En todo caso, si no hay consentimiento toda captura de información no sería legal desde que los datos sirven para identificar a una persona en concreto que no prestó su consentimiento.
“Un caso parecido sería la personalización de los navegadores o de los sistemas operativos con los nombres y apellidos de los usuarios, (por ejemplo Windows 95) las cookies pueden recopilar estos nombres y añadirlos al fichero cookie para recabar cierta información del usuario lo que produciría una clara transgresión del derecho a la intimidad, ya que se han obtenido una serie de datos personales sin el consentimiento del afectado. Pero a esto se podría rebatir diciendo que el usuario acepta la cookie y por tanto da su consentimiento. Sin embargo, esto no es así ya que [hay que configurar] personalmente el Navegador para [que avise de la recepción de cookies y] el consentimiento prestado para la admisión de una cookie ni mucho menos supone una renuncia a los derechos salvaguardados en la [ley].” (51)
A partir de lo expuesto, desde el momento en que los datos que aporta la cookies son identificables o identificados con una determinada persona que no prestó su consentimiento para un tratamiento automatizado, son considerados como datos obtenidos ilegalmente. Si el Proyecto al cual nos referimos anteriormente es aprobado, se debe permitir al Comisionado conocer estos casos e imponer la sanción correspondiente.
CONCLUSIONES
La informática ha producido grandes cambios en la vida cotidiana y aunque este representa grandes ventajas, también puede encontrarse grandes riesgos. Un ejemplo de ello son las posibles transgresiones que puede ser objeto el derecho a la intimidad, tal es el caso de las cookies, los cuales son archivos de texto que pueden recoger toda la información sobre los movimientos del usuario en Internet, “capturando” datos como sus hábitos, poder de compra, domicilio, cargas familiares, etc.
La creación de bancos de datos a partir de esta información es peligrosa en tanto que del cruce entre varios ficheros puede obtenerse un completo perfil de cada individuo, incluso sin conocimiento de éste.
En varios países este tema ya ha sido tratado, regulandose estrictamente el manejo de bancos de datos para el sector público en Estados Unidos y Europa; sin embargo, en estados Unidos se deja a la autorregulación el manejo de bancos de datos privados (lo cual no ocurre en Europa).
En nuestra opinión, ambos sectores deben ser regulados. No puede dejarse a la autorregulación de las empresas la captura de información porque la buena voluntad de las empresas puede variar así como su política comercial mediante fusión, absorción, adquisición, cambio de directorio o de giro, etc.
En el Perú se ha reconocido el derecho a la intimidad en las Constituciones de 1979 y 1993, así como el Código Penal de 1991; pero al contrario de otros países, la doctrina nacional aún es incipiente. En todo caso, el estado actual de la doctrina es de entender a la intimidad como un derecho a no revelar a los demás determinados aspectos de sus relaciones con otras personas, haciendo uso de la autodeterminación informativa; la información objeto de mayor reserva ha sido considerada por la doctrina como datos sensibles.
Consideramos que el Hábeas Data no es suficiente para afrontar el problema de las cookies o el manejo indiscriminado de Bancos de Datos, es necesario indicar principios generales para el tratamiento de la información como en Inglaterra o en Alemania. Por otro lado, se han dado casos que ante la negativa de entregar información del sector Público, los usuarios acuden al Defensor del Pueblo. Sin embargo, no hay institución similar que acuda en auxilio de los usuarios del sector privado.
Un aporte para solucionar el problema es el Comisionado para la Protección de la Privacidad de los Datos Informáticos, que se ocupa del sector público y privado pero con facultades sancionatorias que el Defensor del Pueblo no tiene. Esta figura está prevista en el Proyecto Nº 5233-CR del Congreso de la República.
Nuestra conclusión al problema planteado es que las Cookies representan una amenaza al derecho a la intimidad y la transgreden en tanto no hay consentimiento previo del usuario de Internet para que se registren sus movimientos en el Ciberespacio.
BIBLIOGRAFIA
CARRASCOSA LOPEZ, Valentín 1992 Derecho a la Intimidad e Informática. EN: Derecho e Informatica 1. Mérida: Universidad Nacional de Educación a Distancia. 195 p.
CASACUBERTA, David 1999 La privacidad en los nuevos medios electrónicos. Aspectos técnicos y sociales. EN: REDI-Revista Electrónica de Derecho Informático. Nº 11. http://www.alfa-redi.org/rdi-articulo.shtml?x=276
CORREA, Carlos M.; BATTO, Hilda N.; CZAR DE ZALZUENDO, Susana & NAZAR ESPECHE, Félix. 1987 Derecho Informático. Buenos Aires: Depalma. 341 p.
CRIPTONOMICON 2000 ¿Qué hay de verdad en eso de las “cookies”?. EN: http://www.estrelladigital.es/ciberestrella/secciones/saber/saber16.htm
DEBATES CONSTITUCIONALES 1993 Derecho a la información, informática e intimidad en la reforma constitucional de 1993. Lima: Desarrollo y Paz Editores. 175 p.
FROSINI, Vittorio 1988 Informática y Derecho. Bogotá: Temis. Traducción: Jorge Guerrero & Mariano Ayerra Redin. 179 p.
GALLOUEDEC-GENUYS, Francoise & LEMOINE, Philippe 1986 La Informatización: Riesgos culturales. Barcelona: Ed. Mitre. 209 p.
GARDNER, Elizabeth 1999 El anonimato en la Red EN: Internet World en Español. Nº11, año 5 p.30-33. http://publicaciones.derecho.org/redi/
GATES III, William H. 1994 Camino al futuro. New York: Penguin Books. 280 p.
HANCE, Oliver 1994 Leyes y Negocios en Internet. México: Mc Graw Hill. 377 p.
INEI 1996 Seguridad en Internet. Lima: INEI. 186 p.
IPCE 1997 El peso de la Ley. EN: Negocios XXI. Revista del Instituto Peruano de Comercio Electrónico. P. 23.
MAYO DE GOYENECHE, Marie Claude 1992 Informática Jurídica. Santiago de Chile: Editorial Jurídica de Chile. 145 p.
MORALES GODO, Juan 1995 El derecho a la vida privada y el conflicto con la libertad de información. Lima:Grijley. 411p.
MURILLO DE LA CUEVA, Pablo Lucas 1990 El derecho a la autodeterminación informativa. Madrid: Tecnos. 207p. 1993 Informática y protección de datos personales. Madrid: Centro de Estudios Constitucionales. 165 p.
NEGROPONTE, Nicholas 1994 Ser Digital. Buenos Aires: Editorial Atlántida. 239 p.
PAREJO ALFONSO, Luciano 1996 El derecho fundamental a la intimidad. EN: Ius et Praxis U. Lima. Nº 21-22. P. 39-56.
PERLA ANAYA, José 1998 Derecho a la Información en Perú. EN: Temas fundamentales del Derecho de la Información en Iberoamérica. Madrid: Fragua. 185 p.
PEREZ LUÑO, Antonio 1992 Dilemas actuales de la protección de la intimidad. EN: Ius et Praxis U. Lima. Nº 21-22. p. 12-38. 1995 Manual de Informática y Derecho. Barcelona: Ariel. 226 p.
RAMOS SUAREZ, Fernando 1998 ¿Es legal el uso de cookies? EN: Redi Nº 8. Agosto 1998. http://www.alfa-redi.org/rdi-articulo.shtml?x=134
RONDINEL SOSA, Rocío 1995 Informática jurídica. De la teoría a la práctica. Lima: PREAI. 128 p.
ROSSEN, Jeffrey 1999 La intimidad amenazada. EN: Expreso. 12 de mayo de 1999. P.27
TOFFLER, Alvin 1993 La tercera ola. Madrid: Plaza & Janes. 1994. 494 p.
URIOSTE, Mercedes 2000 Protección de datos personales. EN: REDI. Nº 23. Junio 2000
VELARDE KOECHLIN, Carmen 2000 Defensoría del Pueblo e Informática. Materiales de Enseñanza del Curso de Fedatarios Informáticos del Colegio de Abogados de Lima (Mayo-Diciembre 2000). 9 p.
LEY DE PROTECCION DE DATOS DE CARÁCTER PERSONAL DE ESPAÑA DEL 13 DE DICIEMBRE DE 1999.
PROYECTO Nº 5233, PROYECTO DE LEY DEL CONGRESO PERUANO SOBRE LA PRIVACIDAD DE LOS DATOS INFORMATICOS Y LA CREACION DEL COMISIONADO PARA LA PROTECCION DE LA PRIVACIDAD.
ANEXOS
PROYECTO Nº 5233, PROYECTO DE LEY DEL CONGRESO PERUANO SOBRE LA PRIVACIDAD DE LOS DATOS INFORMATICOS Y LA CREACION DEL COMISIONADO PARA LA PROTECCION DE LA PRIVACIDAD.
LEY DE PROTECCION DE DATOS DE CARÁCTER PERSONAL DE ESPAÑA DEL 13 DE DICIEMBRE DE 1999.
***********
NOTAS
1. Consultar al respecto TOFFLER, Alvin “La tercera Ola”. Madrid: Plaza & Janes. 1994. P.20.
2. GATES III, William H. Camino al futuro. New York: Penguin Books. P. 92
3. En “Camino al futuro” de Bill Gates aparece un notable dibujo de Peter Steiner que muestra a dos perros, uno de los cuales tecleando sobre la computadora comenta a su compañero: “En internet nadie sabe que eres un perro”.
4. PEREZ LUÑO, Antonio Enrique. Dilemas actuales de la protección de la intimidad. EN: Ius et Praxis. Universidad de Lima. Nº 21-22. 1993. P.19-20.
5. RONDINEL SOSA, Rocío. Informática Jurídica. De la Teoría a la Práctica. Lima: PREAI. 1995. P.42.
6. GALLOUEDEC-GENUYS, Francoise & LEMOINE, Philippe. La informatización: riesgos culturales. Barcelona: Mitre. P.47.
7. Por ejemplo, en Perú existe INFOCORP (www.infocorp.com.pe), la cual es una central de riesgo que ofrece intercambio de información en tiempo real a través de su página web interactiva, la cual abarca tarjetas de crédito anuladas, directorio de personas (incluye nombre, DNI, fecha de nacimiento y profesión de personas mayores de 18 años), Directorio de SUNAT, Direcciones (información sobre las direcciones reportadas por las personas naturales y jurídicas en las distintas bases de datos de INFOCORP), Verificaciones de trabajo y domicilio de diversas personas, un sistema consolidado de morosidad, boletín de protestos, cuentas corrientes canceladas, deudas financieras, etc.
8. GALLOUEDEC-GENUYS, Francoise & LEMOINE, Philippe. Op. Cit. P. 48.
9. CARRASCOSA LOPEZ. Derecho a la Intimidad e Informática. EN: Informática y Derecho. Mérida: Universidad Nacional de Educación a distancia. 1992.
10. GALLOUEDEC-GENUYS, Francoise & LEMOINE, Philippe. Op. Cit.. p. 41-42. Ver también: PRIETO ACOSTA, Margarita Gabriela. Informática Jurídica: el derecho ante un gran reto. Bogotá: Pontificia Universidad Javeriana. 1984. P.104.
11. Es interesante indicar que la palabra “target” alude a blanco de tiro; de alguna manera nos convertiríamos en blanco de cazadores en busca de presas.
12. En Francia fue motivo de resistencia un proyecto del Instituto Nacional de Estadística que pretendía atribuir a cada ciudadano un número de identificación único para todas sus relaciones con la administración pública, irónicamente se llamaba SAFARI, lo cual sensibilizó a la opinión pública aún más, ante la amenaza de convertir a los ciudadanos en trofeos de caza informática. El proyecto fue suspendido. Es un ejemplo de resistencia a los cruces entre ficheros informáticos. (PEREZ LUÑO, Antonio Enrique. Manual de Informática y Derecho. Barcelona: Ariel. 1996. P. 49.
13. CARRASCOSA LOPEZ. Derecho a la Intimidad e Informática. EN: Informática y Derecho. Mérida: Universidad Nacional de Educación a distancia. 1992. P.13
14. En tal sentido se pronuncian los creadores del Proyecto Nº 5233 del Congreso de la República en su exposición de motivos: “La informática ofrece la posibilidad de conocer diversos aspectos de la vida personal que, aisladamente considerados pueden carecer de significación, pero que, coherentemente vinculados, arrojan un retrato de la personalidad del individuo, que éste tiene derecho de mantener en reserva. Algunos aspectos reunidos en bancos de datos, como los referidos a trabajos, creencias religiosas, convicciones políticas, compras, enfermedades, récords de estudios, estado civil, gustos y preferencias de las personas no pueden ser objeto del mercado de compra venta sin el consentimiento expreso y previo de la persona afectada”. (consultar este Proyecto en la Página Web del Congreso de la Repúbl,ica que se indica a continuación: http://congreso.gob.pe/ccd/proyectos/pr9909/005223395.htm).
15. CARRASCOSA LOPEZ. Op. Cit . P.13-14
16. PEREZ LUÑO, Antonio Enrique. Manual de Informática y Derecho. Barcelona: Ariel. 1996. P.49.
17. Un ejemplo concreto y actual sería el affaire Bill Clinton-Mónica Lewinsky : los fiscales secuestraron la PC particular de Lewinsky con el objetivo de recuperar mensajes electrónicos que ella había intentado borrar, así como borradores de cartas de amor nunca enviadas al Presidente norteamericano. La indignada Lewinsky se quejó por esta violación y ahora es defensora de la intimidad ciberespacial.
18. GATES, Bill. Op. Cit. P. 169-171.
19. PEREZ LUÑO, Antonio Enrique. Dilemas actuales de la protección de la intimidad. EN: Ius et Praxis. Universidad de Lima. Nº 21-22. 1993. P. 21-22. Ver también PEREZ LUÑO, Antonio Enrique. Manual de Informática y Derecho. Barcelona: Ariel. 1996. P. 59-60.
20. INEI. Seguridad en Internet. Lima: INEI. 1997. P. 28-30.
21. CRIPTONOMICON. ¿Qué hay de verdad en eso de las cookies?. http://www.estrelladigital.es/ciberestrella/secciones/saber/saber16.htm
22. El Peso de la Ley EN: Negocios XXI. Revista del Instituto Peruano de Comercio Electrónico. 1998. P.23
23. ROSEN, Jeffrey. La intimidad amenazada. Artículo del New York Times reproducido EN: Expreso. 12 de mayo del 2000. P. 27
24. CASACUBERTA, David. La privacidad en los nuevos medios electrónicos. Aspectos técnicos y sociales. Redi Nº 11. Revista electrónica de derecho informático..
25. En este aspecto coincidimos con la opinión de CASACUBERTA, David. Op. Cit. (Redi Nº 11)
26. MORALES GODO, Juan. El derecho a la vida privada y el conflicto con la libertad de información. Lima: Grijley. 1995. P.98-101 Ver también : PERLA ANAYA, José. Derecho de la información en Perú. EN: CARREÑO CARION, José & VILLANUEVA, Ernesto. Temas fundamentales de Derecho de la Información en Iberoamérica. Madrid: Fragua Editorial. P.173-174. Si bien en Estados Unidos se usa el término “privacy”, en Perú se usa el término “intimidad”, el cual según el autor ha recibido en la década de los años noventa suficiente tratamiento legislativo, por lo que prevé que se desarrollará un acervo interesante de jurisprudencia y de doctrina.
27. PEREZ LUÑO, Antonio Enrique. Dilemas actuales de la protección de la intimidad. EN: Ius et Praxis. Nº 21-22. 1993 p. 15
28.los doctrinarios concuerdan que el artículo “The Right to Privacy” de Warren y Brandeis que se publicó en el Harvard Law Review en 1890 es el primer trabajo académico sobre la materia y fue decisivo en el entendimiento de este derecho. Ver: Exposición de motivos de la Ley Nº 5233, MORALES GODO, Juan. Op. Cit. P. 94 y 95. y PRIETO ACOSTA, Margarita Gabriela. Informática Jurídica: El derecho frente a un gran reto. Bogotá: Pontificia Universidad Javeriana. P. 102.
29. CARRASCOSA LOPEZ, Valentín. Op. Cit.. p. 12.
30. PEREZ LUÑO, Antonio Enrique. Op. Cit. P. 17. También: PAREJO ALFONSO, Luciano. El derecho fundamental a la intimidad. EN: Ius et Praxis. Lima. Nº 21-22. 1993. P. 43-44..
31. MOLINA MATEOS, José María. Seguridad, Información y poder: una perspectiva conceptual y jurídica de la criptología. Madrid: Incipt editores. 1994. P.27-28.
32. FROSINI, Vittorio. Informática y Derecho. Bogotá: Temis. Traducción Jorge Guerrero & Mariano Ayerra Redin. P. 35.
33. Puede observarse que el concepto de protección de datos ha evolucionado a través de los años determinados por dos aspectos: la evolución de las técnicas informáticas y la nueva configuración del derecho a la intimidad. En los primeros años de aplicación de leyes de protección de datos (que explicaremos más adelante) la discusión se ponía en términos vida privada vs computadoras. En el actual estado tecnológico la protección de datos es una síntesis de los intereses individuales y sociales en juego. Se abandona la concepción del derecho a la vida privada como el derecho a ser dejado solo (correspondiente a una época de marcado individualismo). En la actualidad pasa de ser una libertad negativa de rechazar u oponerse al uso de información sobre sí mismo, para pasar a ser la libertad positiva de supervisar el uso de la información, al respecto recomendamos ver: CORREA, Carlos M.; BATTO Hilda N.; CZAR DE ZALZUENDO, Susana & NAZAR ESPECHE, Félix. Derecho Informático. Buenos Aires: Depalma. 1987. P. 250.
34. Un ejemplo del uso de uno y otro término es la redacción del Proyecto Nº 5233 del Congreso de la República que introducen el término privacidad con la connotación de autodeterminación informativa o intimidad.
35. CASACUBERTA, David. La privacidad en los nuevos medios. REDI Nº 11. 1999.
36. MURILLO DE LA CUEVA, Pablo Lucas. El derecho a la autodeterminación informativa. La protección de los datos personales frente al uso de la informática. Madrid: Tecnos. 1990. P.115-116.
37. DE URIOSTE, Mercedes. Protección de Datos Personales. REDI Nº 23. Junio del 2000
38. HANCE, Olivier. Leyes y Negocios en Internet. México: Mc Graw Hill. P. 127-133.
39. CASACUBERTA, David. La privacidad en los nuevos medios electrónicos. Aspectos técnicos y sociales. EN: REDI-Revista Electrónica de Derecho Informático. Nº 11. http://www.alfa-redi.org/rdi.shtml
40. MURILLO DE LA CUEVA, Pablo Lucas. El Derecho a la autodeterminación informativa. La protección de los datos personales frente al uso de la informática. Madrid:Tecnos. 1990. P.131-132.
41. MURILLO DE LA CUEVA, Pablo Lucas. El Derecho a la autodeterminación informativa. La protección de los datos personales frente al uso de la informática. Madrid:Tecnos. 1990. P. 135-139.
42. MURILLO DE LA CUEVA, Pablo Lucas. Informática y protección de datos personales. Madrid: Centro de Estudios Constitucionales. P. 20-25 y también MOLINA MATEOS, José María. Seguridad, Información y Poder. Madrid: Incipt. 1994. P. 32-35.
43. En vista que aún no hemos encontrado nueva doctrina sobre esta ley, hemos preferido comentarla en algunos aspectos que nos parecen interesantes y mostrarla en anexo adjunto a este trabajo. El texto de esta nueva Ley se encuentra en www.onnet.es/03002016.htm
44. Exposición del Dr. Carlos Torres y torres Lara tomada del Diario de Debates de la Comisión de Constitución del CCD del 25 de enero de 1993 EN: DEBATES CONSTITUCIONALES. Derecho a la información, informática e intimidad en la reforma constitucional de 1993. Lima: Desarrollo y Paz editores. P.27-28.
45. Exposición del Dr. Roger Cáceres V. Tomado del Diario de Debates del 25 de enero de 1993 de la Comisión de Constitución del CCD. EN: DEBATES CONSTITUCIONALES. Derecho a la información, informática e intimidad en la reforma constitucional de 1993. Lima: Desarrollo y Paz editores. P. 35-36.
46. Exposición del Dr. Carlos Ferrero C. Tomado del Diario de Debates del 25 de enero de 1993 de la Comisión de Constitución del CCD. EN: DEBATES CONSTITUCIONALES. Derecho a la información, informática e intimidad en la reforma constitucional de 1993. Lima: Desarrollo y Paz editores. P. 59-60.
47. MORALES GODO, Juan. El derecho a la vida privada y el conflicto con la libertad de información. Lima: Grijley. P. 246..
48. La Defensoría del Pueblo está facultada para interponer acciones de garantía de acuerdo al artículo 9 inc. 2) de su Ley Orgánica, Ley Nº 26520.
49. VELARDE KOECHLIN, Carmen. Defensoría del Pueblo e Informática. Material del Curso de Fedatarios Informáticos del Colegio de Abogados de Lima (mayo-diciembre 2000). P. 2.
50. GARDNER, ELIZABETH. El anonimato en la Red. EN: Internet World en español. 1999. Año 5 Nº 11. P. 33.
51. RAMOS SUAREZ. ¿Es legal el uso de cookies? EN: REDI Nº 8. Agosto 1998.
Suscribirse a:
Entradas (Atom)