Gloria Mariela Centurión
Abogada, Profesora e Investigadora. Paraguay. mariela_centurion@uc.edu.pyEl Reglamento Europeo de protección de datos (Parte II)
El Reglamento Europeo de protección de datos y su proyección hipotética en la administración pública paraguaya, con especial énfasis en los gobiernos locales.
III El marco legal de la protección de datos personales en Paraguay
Es bien conocida la tensión entre el derecho a la información pública y el derecho a la vida privada. No toda la información en poder de la administración pública es pública.
El capítulo II de la Constitución paraguaya acoge los principios que actúan de plataforma de los derechos a la libertad de expresión, la libertad de informarse, de hacer uso de la propia imagen, al goce de la intimidad personal y familiar, y sus derechos conexos. Ahora bien, en nuestra legislación, acerca de la identidad personal “no existe mención explícita…” y “la toma de conciencia sobre la posibilidad de exigir que la identidad personal no sea alterada, permitirá la protección de las personas en su integridad…”[31].
En la línea infraconstitucional, un paso muy importante en el refuerzo de la protección y manejo de datos, y la ampliación de los derechos del consumidor de bienes y servicios por vía electrónica, ha sido la Ley Nº 4868/13 “Comercio Electrónico”.
Incentiva el uso de los comprobantes de pago electrónico a todas las entidades públicas, incluidas las Municipalidades y Gobernaciones, encargando su reglamentación al Ministerio de Hacienda. La puesta en vigencia de la ley y su Decreto reglamentario, N° 1165/14, coincide con que “el e-commerce experimentó una fuerte tendencia de incremento transaccional…”[32].
No obstante, convengamos que la Ley Nº 5282/14 Del libre Acceso ciudadano a la información pública y transparencia gubernamental, que reglamenta el artículo 28 de la Constitución, provocó modificaciones de gran impacto en el manejo de la información por parte de los funcionarios y autoridades públicas y en el relacionamiento con los usuarios/as y ciudadanos/as. La ley, reglamentada por el Decreto Nº 4064/15, diseña la arquitectura de un sistema de gestión de acceso a la información rápido, transparente y gratuito, apoyado en plataformas digitales, que pone en el centro a la persona interesada.
Las instituciones públicas dependientes del Gobierno Central y las entidades descentralizadas: municipalidades[33] y gobernaciones (declaradas “fuentes públicas de información”), deben contar con un portal web institucional conectado al Portal Unificado de información pública y reportar las peticiones, trámites y publicaciones de información, conforme el Decreto N° 4064/15. El Ministerio de Justicia es el ente rector de aplicación de esta ley para las instituciones públicas dependientes del Poder Ejecutivo[34], pero a pesar de los esfuerzos realizados para el cumplimiento de sus cometidos, está desabastecido de recursos para vigilar el cumplimiento efectivo y aportar una medición de la implementación de la ley a nivel nacional.
La Ley Nº 5282/14 introdujo el mandato para todas las fuentes públicas de información que la información expuesta sea clara y concisa, es decir, con un lenguaje sencillo que pueda ser entendido por la persona interesada y recalca la adopción de medidas destinadas a las personas con discapacidad. Ha sido el puntal de la aplicación práctica del uso de TICS[35] en la administración pública y es un valioso antecedente para el debate de la situación legal de la protección de datos personales en Paraguay.
Técnicamente la información es un conjunto organizado de datos procesados. Existe directa correlación entre información pública y protección de datos. La Ley N° 1682/01 “Que reglamenta la información de carácter privado”; la Ley N° 1969/02 "Que modifica, amplia y deroga varios artículos de la ley 1682/01" y la Ley N° 5543/15 “Que modifica los artículos 5 y 9 de la Ley N° 1682/01, modificada por la Ley N° 1969/02” abordan aspectos que hacen al acceso y almacenamiento de datos personales[36]. Entendemos que en su redacción ha predominado lo referente a datos financieros[37].
Si bien la Ley N° 1682/01 garantiza la tutela de los datos personales por parte del Estado, será la persona interesada quien promueva las acciones para el ejercicio de sus derechos sobre la protección de sus datos personales. Está, además, desprovista de marco conceptual, un asunto no menor en este campo de permanentes controversias que exige la ponderación de derechos.
Faltan medidas de prevención de riesgos y de seguridad de manejo de datos personales. Carece de determinación de los medios para acreditarse el consentimiento expreso del interesado.
Tal como está, la ley pone en riesgo la seguridad jurídica y expone a las personas interesadas o titulares de datos a violaciones de sus derechos.
Es decir, la norma plantea hoy serias debilidades frente a los principios que presenta el Reglamento europeo.
El nuevo paradigma de protección de datos abraza todos los almacenamientos de datos personales tanto en bases digitalizadas como en carpetas físicas, pero los archivos electrónicos se imponen cada vez más enérgicamente[38].
En busca de unificar los procedimientos administrativos establecidos en diferentes leyes y otras normas, apareció la Ley Nº 4679/12 De Trámites administrativos, que regula la presentación y trámite de solicitudes – diversas - ante los entes estatales, autónomos o autárquicos (incluye las Municipalidades) y delega en los entes públicos la reglamentación.
Lo que hace es asignar un mismo nombre: Reglamento de Trámites Administrativos (RTA) y poner un mismo plazo de dictamiento para los entes públicos.
Es importante señalar que, la ley dejó abierta la posibilidad del uso de los “diversos medios electrónicos para la gestión de trámites administrativos y sus diferentes actuaciones por medios tecnológicos electrónicos actuales y futuros”[39].
La ausencia de una norma específica demuestra una “imperiosa necesidad de la creación de una Ley Orgánica de Datos Personales”[40].
Al mismo tiempo, los procedimientos digitales – que dan lugar a registros diversos - necesitan de una ley de cobertura que establezca criterios uniformes para la Administración pública[41] y en este tren de cosas, es oportuna la adecuación de la legislación a los estándares internacionales que ha asumido el Estado paraguayo[42].
En la comuna de Asunción, la Ordenanza Nº 72/04 “Que establece el acceso a los documentos públicos municipales de la Ciudad de Asunción”, contiene una clasificación de información[43] que no forma parte de la información pública. La clasificación de la información, a la luz de las leyes posteriores, implicaría su adecuación, no obstante es un antecedente importante de preservación de datos que no pueden der públicos.
IV El cambio de paradigma y sus implicancias para las Municipalidades del Paraguay
Es sabido que en la diversa estructura organizacional de los Estados de la UE observamos sistemas federales de largo funcionamiento y complejidad, y de cara a nuestro sistema unitario, todo intento de paralelismo a partir del Reglamento Europeo y sus instituciones, tendrá asimetrías de diferente grado.
En ese sentido, son variables a tener en cuenta:
1) el marco legal municipal no es un marco bien delimitado de competencias, lo cual trae grandes inconvenientes para la gestión de gobierno del conjunto de los municipios (diseño e implementación de políticas públicas municipales y aplicación de controles de prevención de transgresiones a normas);
2) las leyes posteriores a la Constitución han acompañado muy poco (con un débil criterio de la autonomía municipal) el proceso de descentralización de los servicios públicos;
3) la contribución de bajo impacto de los Gobiernos Departamentales en su rol de representantes directos del Poder Ejecutivo, al robustecimiento de los municipios;
4) el acceso real a internet de las Municipalidades (el uso efectivo de TICs) y la calidad de la señal de conexión;
5) la implementación de criterios y protocolos de archivo y conservación de documentos por parte de las municipalidades.
La base jurídica que legitima los tratamientos de datos de carácter personal en las municipalidades es el cumplimiento de un mandato de interés público o el ejercicio de poderes públicos así como el cumplimiento de una obligación legal. En ambos casos sería precisa la existencia de una previsión normativa con rango de ley.
Las municipalidades prestan una serie de servicios públicos vinculados al ejercicio de sus competencias o funciones postuladas en la Carta Magna y agrupados por materia en la Ley N° 3966/10[44], Ley Orgánica Municipal LOM). Para brindar los servicios públicos, las municipalidades recaban y tratan datos de carácter personal de los/as ciudadanos/as, almacenados parcialmente en forma automatizada, o no. Otros archivos a cargo de las municipalidades les son encomendados a través de otras leyes o decretos. Ensayemos encuadrar una agrupación de los datos personales que maneja básicamente una municipalidad:
a.de carácter tributario. Son los ingresos tributarios (art. 146, 151, LOM), impuestos, tasas y contribuciones, que devienen de cobros que corresponden por ley y otorgamiento de licencias o habilitaciones.
b.De carácter identificativo. Por ejemplo, el registro de comisiones vecinales (art. 63, LOM) y comisiones de fomento urbano (art. 64, LOM). Así como registro de la mesa de entrada, solicitudes y reclamos. Asimismo otras leyes establecen que la municipalidad realice determinados registros de datos personales. Por ejemplo, el registro de asociación de consumidores (art. 41 y 48, Ley N° 1334/98 Del consumidor y del usuario); el registro de adolescentes trabajadores (art. 55, Ley N° 1680/01 Código de la Niñez y la Adolescencia); el registro para provisión de datos e informaciones al Registro Nacional de Licencias de Conducir y Antecedentes de Tránsito (art. 30, Ley N° 5016/14 Nacional de Tránsito y Seguridad Vial y Decreto N° 3427/15); información para el portal electrónico sobre Planes de gestión de residuos sólidos (art. 20, Decreto N° 7391 Por el cual se reglamenta la Ley N° 3965/09 “Gestión integral de residuos sólidos”). En materia de desarrollo humano y social, las municipalidades prestan ayudas sociales que generan almacenamiento de información personal o actúan como entidad de recolección de datos programas de otras entidades como por ejemplo el Programa de Pensión alimentaria para adultos mayores, cuyo proceso de obtención se inicia en el registro de la municipalidad donde reside el peticionante (art. 23, Decreto N° 4542/10).
c. En el ejercicio de la potestad sancionadora. Por ejemplo, el prontuario municipal (art. 80, LOM) así como el registro de sumarios y resoluciones emanadas del Juez de Faltas.
d.Académicos y profesionales. Por ejemplo, en el manejo de selección de personal y concurso de méritos.
e.Otras categorías de datos. Las municipalidades establecen un sistema de planificación que consta como mínimo del plan del desarrollo sustentable y el plan de ordenamiento territorial (art. 224, 225, 226, LOM). Mantienen además los registros sobre loteamientos (art. 239 a 259, LOM) y otros registros correspondientes a competencias exclusivas como mataderos y cementerios municipales.
Ahora bien, quizá la disposición legal reveladora de cara a la implicancia de la Municipalidad en la protección de datos personales y su operatividad, está en la Ley de Defensa del Consumidor y del usuario, N° 1334/98, que dice: “En el ámbito nacional será autoridad de aplicación de la presente ley el Ministerio de Industria y Comercio, y en el ámbito local, las municipalidades, pudiente ambas actuar en forma concurrente”[45]. ¿Por qué? La valoración de la misma Comisión de la UE con respecto al Reglamento dice: “…reforzará la confianza y la seguridad de los consumidores…”[46].
El Decreto reglamentario de dicha ley, N° 2533/99, trata los procedimientos desarrollados exclusivamente ante el Ministerio de Industria y Comercio, que era la Autoridad de aplicación hasta la creación de la Secretaría de Defensa del Consumidor y el Usuario (SEDECO). Por ende, la reglamentación para las municipalidades recae en las ordenanzas municipales.
En 2010, con la reforma de la LOM, se incluyó entre las funciones de las municipalidades la protección de los derechos de los consumidores[47]. Los consumidores y usuarios no sólo pertenecen a un público sobre el cual las municipalidades impulsarán sus políticas y acciones por mandato de la LOM sino que además los datos de consumidores y usuarios que estén organizados integrarán el registro que debe poseer la municipalidad en virtud a la Ley N° 1334/98.
Posteriormente la Ley N° 4868/12 De comercio electrónico, reguló el comercio de bienes y servicios vía electrónica y reforzó los derechos del consumidor, circunscriptos a ese ámbito.
¿Cuál es la ley que otorga cobertura a los procedimientos electrónicos en la administración municipal y en toda la administración pública?. La LOM carece absolutamente de disposiciones relativas al uso de TIC´s y procedimientos electrónicos. Hoy es necesaria la cobertura legal para los mismos, sobre todo ante los avances de modelos de gestión digital en las municipalidades (las distintas modalidades de “Smarts cities”). Tal vez la cobertura legal a los procedimientos administrativos digitales apropiada sea una futura Ley general de procedimientos administrativos[48].
V Una aproximación a los ajustes
En una proyección hipotética del nuevo paradigma de protección de datos personales, como punto de partida, los formularios que usan las Municipalidades verían sustituidos sus formatos, en vista a la necesaria incorporación de un check box (cajita de verificación)para conseguir el consentimiento del usuario y la eliminación o modificación de los campos a rellenar, ya sea de suscripción o formulario, que no recojan el consentimiento del usuario de forma inequívoca. Sea en rellenado manual o informatizado en las oficinas de la Municipalidad, o vía correo electrónico, se deberá explicar o hacer constar de forma sencilla cómo se van a tratar sus datos, la elaboración de perfiles, los fines a que se destinan los datos personales y la base jurídica del tratamiento.
Por otro lado, se modernizaría el método de manejo de archivos en las oficinas. La arquitectura organizacional de protección de datos debiera de contar con el responsable, que sería el intendente y la figura del encargado podría tal vez estar concentrada en la misma autoridad o en un/a funcionario/a con rango de Director/a o Jefe/a. La figura del Delegado de protección de datos[49], asesora a los responsables del tratamiento de los datos sobre su uso. Podría aplicarse a esta figura, en especial para municipios de bajo presupuesto, la posibilidad que la LOM contiene sobre la designación de un mismo Juez de Faltas para dos o más municipalidades, mediante convenio celebrado al efecto, “con el objeto de lograr un mejor aprovechamiento de los recursos disponibles” (art. 127, LOM). La autoridad de control será la entidad rectora (Ministerio, Secretaría, determinado Consejo) que en un sistema descentralizado podría ser ejercido por la las Gobernaciones.
Los datos no podrían ser utilizados para otra finalidad distinta que la relacionada con el fin específico, que se indicará al momento de la captación o recogimiento. La utilización de los datos para otro fin necesita que la actividad se encuentre prevista en la ley o la Municipalidad inexcusablemente debe contar con el consentimiento previo, expreso del titular, atendiendo la obligación legal de la licitud del tratamiento.
La toma de decisiones sobre la comunicación de información que adopte la Municipalidad estará basada en la misión de interés público o seguridad y se ponderará a la luz de otras leyes. Por ejemplo, los documentos de obras de edificación pueden contener datos personales relativos a contratistas, técnicos o titulares de licencia, que son personas físicas. Se evaluaría entonces la legislación relacionada al acceso a la información pública o se disocian los datos personales contenidos en los documentos. En caso que la Municipalidad implemente un sistema de videovigilancia e instale cámaras de seguridad en la vía pública, será con el objeto de preservar la seguridad de personas y bienes, pero supone un tratamiento de datos puesto que la imagen es un dato de carácter personal que posibilita que personas físicas sean identificadas. Quedaría a cargo de la Municipalidad la elaboración del registro de actividades de tratamiento llevado a cabo a través de la videovigilancia, la instalación de avisos que indiquen la existencia del tratamiento de datos (las cámaras) y la adopción de medidas de seguridad.
En los municipios se dictarían códigos de conducta para responsables y encargados, en razón a que el foco del tratamiento de datos por parte de las municipalidades se centra en la anticipación y en la prevención. Además se implementarían mecanismos de certificación (como sellos y marcas) y de la seudonimización o cifrado de datos personales. La seudonimización consiste en un mecanismo que oculta la identidad de los afectados pero ese ocultamiento de la identidad puede reverse y es posible re-identificar a las personas referidas. Los municipios pueden trabajar a fin de reducir daños por probables quiebres de seguridad con un plan de contingencia. Se conservarían los datos imprescindibles para el cumplimiento del fin específico, en virtud del principio de minimización, evitando medidas que puedan considerarse intrusivas.
Sobre todo, por la labor preventiva que asumen las Municipalidades en el ejercicio de sus funciones (art. 12 a 14, LOM) tendrá como componente prioritario la sensibilización en el tratamiento de la protección de datos personales. Además, las municipalidades son autoridad de aplicación de la ley que regula la defensa de los derechos del consumidor y usuario, a nivel local y la SEDECO lo es a nivel nacional. Ello implica, en la línea del nuevo paradigma de protección de datos personales, el fortalecimiento de las políticas y acciones a favor de los derechos del consumidor y usuario.
El cambio de paradigma de la protección de datos que surgió con el Reglamento 2016/679 del Parlamento Europeo y del Consejo, tiene un efecto globalizador y sus disposiciones nos echan luz sobre el futuro del manejo de los datos personales en la Administración pública del Mercosur.
[31] Corina Orué, Juan Carlos. “El derecho a la identidad personal y su protección legal en el Paraguay”. http://www.pj.gov.py/ebook/monografias/nacional/derechos-humanos/Juan-Carlos-Corina-El-derecho-a-la-identidad.pdf
[32] Lara Céspedes, Reysneider Adolfo. “Evolución del e-commerce en Paraguay y su repercusión en la vigencia de disposiciones legales”, Revista Población y Desarrollo, N° 44 Año 2017, Universidad Nacional de Asunción (UNA). http://revistascientificas.una.py/index.php/RE/article/view/1239
[33] Los gobiernos municipales toman decisiones que tienen una gran incumbencia en la vida de los ciudadanos. Nos referimos al Plan de desarrollo sustentable y el Plan de Ordenación Urbana y Territorio; la delimitación de las áreas urbanas y rurales, el Presupuesto municipal y la rendición de cuentas, las licencias para emprendimientos. Esta es información que debe estar disponible y actualizada.
[34] Una de las reformas que se plantea a esta ley es la revisión de si la autoridad rectora debe ser fortalecida, sustituida por otra entidad del Poder Ejecutivo o es conveniente la creación de una instancia especializada. La Ley N° 27.275 de 2016, Derecho de acceso a la información pública, de la República Argentina, creó la Agencia de Acceso a la Información Pública como ente autárquico y que funciona con autonomía funcional en el ámbito del Poder Ejecutivo nacional. La misma “debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa” (art. 19), la cual está a cargo de un Director (art. 20).
[35] Se considera un importante avance en la Región el expreso reconocimiento del derecho humano a las comunicaciones y a las telecomunicaciones así como el reconocimiento de las tecnologías de la Información y las Comunicaciones (TIC) como un factor preponderante en la independencia tecnológica y productiva de la Nación, en la Ley 27.078 de 2014, Ley Argentina Digital.
[36] Otras leyes completan el plexo normativo. Corresponde incluir la Ley N° 125/91 De Régimen Tributario; Ley N° 642/95 De Telecomunicaciones; Ley N° 861/96 General de Bancos, Financieras y otras entidades de crédito; Ley Nº 3440, de 16 de julio de 2008, que modifica varias disposiciones de la Ley Nº 1160/97, Código Penal; Ley Nº 4439, de 3 de octubre de 2011, que modifica y amplia varias artículos de la Ley Nº 1160/97, Código Penal. Artículos 146 b; 146 c; 146 d; 174; 174 b; 175; 175 b y 188; Ley Nº 4017/10 De validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico; la Ley Nº 4610/12, que modifica y amplía la Ley Nº 4017/10; la Ley Nº 4868/13 De Comercio electrónico; la Ley Nº 4989/13 Que crea el marco de aplicación de las tecnologías de la información y comunicación en el sector público y crea la Secretaría Nacional de Tecnologías de la Información y Comunicación (SENATICs); Ley N° 5476/15 Que establece normas de transparencia y defensa al usuario en la utilización de tarjetas de crédito y débito; Ley N° 5830/17 Que prohíbe la publicidad no autorizada por los usuarios titulares de telefonía móvil, de reciente aparición; entre otras.
[37] A la última modificación se la conoce en los medios de comunicación como Ley de Inforconf. https://www.ultimahora.com/cartes-promulga-ley-informconf-n951509.html
[38] En nuestro país, el ritmo de las reformas legales se ve superado absolutamente por los avances tecnológicos. El concepto de “smart City” o ciudad inteligente es un modelo en veloz expansión que reúne iniciativas que buscan establecer ciudades sostenibles. Hablamos del pago de servicios o productos con teléfono móvil, el funcionamiento de sensores que aportan información en tiempo real para evitar desde atascos en el tránsito vehicular hasta prevención de desastres o la instalación de grandes redes de conexión que ofrecen servicio de wifi en lugares públicos. Las iniciativas se replican en la Región como buenas prácticas, tendencia que crece con el plus del cuidado del medio ambiente. Las ciudades del Paraguay, en especial aquellas con mayor índice de población, no escapan de estos efectos de innovación digital.
[39] Art. 18.
[40] Acuña, Jazmín y otros, ““La protección de datos personales en bases de datos públicos en Paraguay. Un estudio exploratorio”, TEDIC (Tecnología y comunidad), 2017, Asunción. Pág. 49 y Alonzo Fulchi, Luis y Sequera Buzarquis, Maricarmen. “La protección de datos personales en el sector privado de Paraguay”, TEDIC (Tecnología y comunidad), 2017, Asunción. Pág. 9. El informe “La protección de datos personales en bases de datos públicos en Paraguay. Un estudio exploratorio” refiere, entre otras conclusiones, que el problema principal es la ausencia de una normativa que se aplique a todas las instituciones, lo que expone a riesgos a la ciudadanía cuyos datos se encuentran almacenados. Agrega que los responsables a cargo de las bases de datos tienen un nivel bajo de familiaridad con estándares de protección, ya sean regulaciones internas, nacionales o internacionales, que algunos se rigen por decretos de creación de las instituciones y otros por “normas no escritas”.
[41] la ley de Procedimiento administrativo común, en estudio parlamentario de larga data.
[42] El Paraguay forma parte del proyecto Mercosur Digital, iniciativa del bloque regional y la Unión Europea que nació con el objetivo de reducir las asimetrías legales y tecnológicas. El Estado paraguayo, dentro y fuera del ámbito del Mercosur, ha suscrito numerosos acuerdos bilaterales y multilaterales de cooperación internacional de transferencia de información en materia jurídica y de seguridad. Recientemente el Grupo Agenda Digital (GAD) del Mercosur, se reunió en nuestro país para debatir, analizar e identificar temas de interés común entre los países miembros en temas que hacen a las TICs. En el año 2017, el Paraguay ingresó a la Organización para la Cooperación y Desarrollo Económico (OCDE) cuyo Consejo dictó ya en 1980 la Recomendación relativa a las directrices que regulan la protección de la privacidad y el flujo transfronterizo de datos personales, cuyo alcance abarca los datos personales del sector público o del privado, que, debido al modo en que son tratados, a su naturaleza o al contexto en el que se usan, representan un peligro para la privacidad y las libertades individuales (art. 2, Anexo a la Recomendación del Consejo, del 23 de septiembre de 1980).
[43] Art. 3, Excepciones.
[44] Art. 12 y 13, Ley Orgánica Municipal, N°3966/10
[45] Art. 40.
[46] Pág. 1.
[47] La competencia municipal de defensa de los derechos del consumidor es muy antigua. El Decreto de 17 de 1955, Reglamento de servicios de las corporaciones locales, se refiere al abasto en la intervención administrativa “para asegurar el abasto de los artículos de consumo de primera necesidad, la calidad de los precios de venta, la fidelidad en el despacho de los que se expendan a peso o medida, la normalidad de los precios y la libre entre los suministradores y competidores” (art. 1, 2°) y “se dirigirá a asegurar la libre competencia como medio de procurar la economía de los precios” (art. 18, 1). Hoy, la competencia de abasto para las municipalidades, está presente en la Carga Magna y la LOM.
[48] Más allá de los procedimientos electrónicos, a fin que regule con claridad los procedimientos administrativos, que determine el régimen de los actos administrativos, su revocación, caracteres, procedimientos ordinarios, plazos para dar respuesta a peticiones, recursos o impugnación de actos administrativos, los mecanismos de protección de los derechos de los administrados y en ese marco, se para el conjunto de las administraciones públicas. En la doctrina paraguaya, los especialistas y estudiosos del Derecho Administrativo coinciden totalmente en la imperiosa necesidad de esta ley.
[49] En el caso español, en los ayuntamientos con población inferior a 20.000 habitantes podrían designar un Delegado de protección de datos o articularlo, más de un ayuntamiento, a través de las Diputaciones Provinciales o Comunidad Autónoma que corresponda.