Preguntas y respuestas sobre protección de datos en Centroamérica

  1. ¿Existe legislación general relacionada con el derecho a la intimidad y/o a la autodeterminación informativa?

En Centroamérica, la Constitución Política de cada país es la reglamentación que existe para el derecho a la intimidad y/o a la autodeterminación informativa.

 

En el caso de Guatemala, La Corte de Constitucionalidad, respecto al reconocimiento y protección de los derechos a la intimidad y a la privacidad, ha señalado que los mismos se encuentran contenidos en los siguientes artículos constitucionales: a) Artículo 23: Inviolabilidad de la vivienda; b) Artículo 24: Inviolabilidad de correspondencia, documentos y libros y; c) Artículo 25: Registro de personas y vehículos. Con relación al contenido y alcances del artículo 31 constitucional, referente al acceso a archivos y registros estatales, se puede establecer que el mismo contiene un reconocimiento “parcial” al derecho de protección de datos personales o autodeterminación informativa, toda vez que su ámbito de protección se limita solamente a los datos personales que aparecen en archivos y registros “públicos” no así a los que se encuentran contenidos en registros privados. En este artículo se establece que toda persona tiene derecho a conocer lo que de ella conste en archivos, fichas o cualquier otra forma de registros estatales, y la finalidad a que se dedica esta información, así como a corrección, rectificación y actualización. 

 

En El Salvador, las sentencias de los procesos de amparo 934-2007 y 142-2012, (en adelante la “Jurisprudencia”), han desarrollado el derecho a la autodeterminación informativa como una manifestación del libre desarrollo de la personalidad y la dignidad, en tanto que de tal noción deriva la capacidad de los individuos de decidir cuándo y dentro de qué límites son públicos los asuntos de su vida personal; puesto que, si el desarrollo de la personalidad se proyecta como un concepto relacional, también implica la autodeterminación y autonomía de la persona dentro de una sociedad democrática. Dicho concepto derivado del derecho fundamental a la intimidad fue ampliado por la propia Sala a una doble acepción de libertad y control sobre los datos, sin limitación sobre el tipo de datos tratados, desarrollando dos facetas: (i) un material –preventiva–, relacionada con la libertad y la autonomía del individuo con relación a sus datos personales; y (ii) otra instrumental –de protección y reparación–, referida al control que la resguarda y restablece ante restricciones arbitrarias.

 

De cara a dicha jurisprudencia expuesta en su faceta instrumental se ha determinado que las personas deben tener el derecho a ejercer el control de la información personal sistematizada o contenida en bancos de datos o ficheros, dotando al individuo de ciertos derechos sobre la información:

 

  • La facultad de conocer, en el momento específico de la recolección de los datos, el tipo de información personal que se va a almacenar, cuál es la finalidad que se persigue con su obtención y procesamiento, a quién se le hace entrega de esos datos y, finalmente, quién es el responsable del fichero donde se resguardan para poder realizar cualquier oposición, modificación y alteración de aquellos.
  • La potestad de conocer la existencia de bancos de datos automatizados, en virtud de la cual toda persona tiene derecho a conocer si los datos que le conciernen son objeto de uso o tratamiento por terceros.
  • La libertad de acceso a la información, facultad que implica la posibilidad de comprobar si se dispone de información sobre uno mismo y conocer el origen del que procede y la finalidad que se persigue.
  • La facultad de rectificación, integración y cancelación, para asegurar la calidad de los datos y el acceso a los mismos, exige, por un lado, la modificación de los datos que aparecen erróneamente consignados y obtener así la integración de los que sean incompletos; y, por otro, la facultad de cancelación o anulación de los datos por la falta de relevancia y actualidad de la información para los fines del banco de datos o, simplemente, por el propósito de permitir al titular que recupere la disponibilidad sobre cualquier faceta de su personalidad y de sus datos íntimos o estrictamente privados, que figuran en la memoria informática o en el fichero respectivo.
  • La potestad de conocer la transmisión de los datos personales hacia terceros. No se trata solamente de conocer, anticipadamente, la finalidad perseguida por la base de datos y que ésta implique la posibilidad de poner en circulación la información personal; sino, sobre todo, consiste en obtener de los responsables del banco de datos, noticia completa de a quién se ha facilitado y con qué extensión, uso y finalidad.

 

Adicionalmente, la Jurisprudencia desarrolla los principios que deben atenderse para informar la recolección y resguardo de datos personales, los cuales son:

 

  • Principio de Finalidad en la recolección de la información.
  • Principio de Pertinencia de la información.
  • Principio de Transparencia sobre el tipo, dimensión, uso y fines del procesamiento.
  • Principio de Sujeción al fin del procesamiento.
  • Principio de Prohibición del tratamiento de datos y creación de perfiles sin autorización.
  • Principio al olvido (derecho al olvido).

 

Lo anterior, considerando el carácter de obligatorio cumplimiento que se materializan por medio de los orbiter dicta de una sentencia de la Sala de lo Constitucional debe ser atendido por toda persona que trate datos personales, para evitar posibles repercusiones frente a terceros.

 

  1. ¿Existe ley especial para regular la protección de datos personales?

En el caso de Guatemala, no existe dentro del ordenamiento jurídico guatemalteco un cuerpo normativo que regule, específicamente, el tema de protección de datos personales. La Ley de Acceso a la Información Pública, Decreto número 57-2008 del Congreso de la República, contiene y establece ciertos parámetros importantes relacionados con el tema (datos personales, habeas data, información confidencial, el tratamiento y acceso a los datos personales, entre otros) pero lo hace, esencialmente, desde la perspectiva del manejo de datos personales por parte de registros públicos o estatales (registros controlados por entidades que manejan recursos o bienes del Estado o llevan a cabo funciones públicas). Esto supone la existencia de un “vacío legal” en Guatemala en cuanto a regulación sobre el manejo de datos personales por parte de sujetos privados y, por tanto, en cuanto al derecho de protección de datos o derecho a la autodeterminación informativa en todas sus facetas, manifestaciones y alcances.

 

En El Salvador tampoco existe una legislación específica de protección de datos personales en El Salvador, no obstante, la jurisprudencia de la Sala de lo Constitucional, específicamente, las sentencias mencionadas anteriormente 934-2007 y 142-2012 son las que regulan este tema. Asimismo, existen regulación aisladas que permiten tener una protección general sobre este tema.

 

En Honduras existe la Ley de Transparencia y Acceso a la Información Pública. Art. 3 numeral 7), 24 y 25 y en Nicaragua el tema de protección de datos está regulado en la Ley No. 787 Ley de Protección de Datos Personales y su Reglamento, que datan del 2012, en la ley se establece la creación de la Dirección de Protección de Datos Personales, que es la que está a cargo del control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada; sin embargo, aunque la ley y su reglamento tienen varios años desde su publicación, al día de hoy no se ha creado dicha Dirección y por tanto en la práctica no es posible aplicar la totalidad de la ley.

 

Costa Rica, principalmente el tema se regula en la Ley de Protección a la Persona Frente al Tratamiento de sus Datos Personales, No. 8968 del año 2011 y su Reglamento, el Decreto No. 37554, del año 2012. En estas normas podemos encontrar los conceptos básicos sobre datos personales, bases de datos, las categorías de datos, los derechos de los titulares y los deberes de los recopiladores, sanciones, creación de la Agencia de Protección de Datos Personales (PRODHAB). Además, tenemos algunos artículos dispersos en normativa específica en el Capítulo 10 del Reglamento a la Ley del Consumidor relacionado con la protección de datos personales en el comercio electrónico y en artículos 22 al 25 del Reglamento de Tarjetas de Crédito y Débito No. 35867 del 2010.

 

  1. ¿Obliga la legislación a solicitar el consentimiento informado del titular de los datos antes de ser recopilados?

 

En Guatemala, a pesar de que no existe normativa relativa a la protección de datos, la Corte de Constitucionalidad ha dictado doctrina legal mediante la cual establece que para la utilización de datos es necesario el consentimiento de la persona interesada.

 

Para El Salvador está contemplado en la Constitución de la República y Ley Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas en las sentencias de los procesos de amparo 934-2007 y 142-2012 mencionados anteriormente.

 

En Honduras es importante expresar que, el artículo 41 numeral 3, del Reglamento de la Ley, obliga a las instituciones obligadas a poner a disposición del público el documento en el cual se establezcan los propósitos para el tratamiento de los datos personales. 

 

En Nicaragua y Costa Rica si es obligación. Para Nicaragua, la Ley de Protección de Datos Personales y su Reglamento establecen que el titular de los datos deberá dar su consentimiento previo al tratamiento de sus datos, salvo en los casos en que expresamente la ley establezca que no es requerido el consentimiento. Este consentimiento deberá ser libre, específico e informado, según el artículo 4 del Reglamento de la Ley No. 787. Y en el caso de Costa Rica, por regla general toda recopilación de datos personales requiere del consentimiento expreso e inequívoco del titular, artículo 5 de la Ley de Protección a la Persona Frente al Tratamiento de sus Datos Personales y en el mismo artículo 5 de su Reglamento, se establecen no sólo como una obligación para quien recopile datos personales sino también sus formalidades de las cuales hablaremos más adelante. Por supuesto esto tiene excepciones que también se verán más adelante.

 

  1. ¿Existe legalmente algún contenido o forma específica que deba contener el consentimiento informado? GT, HN NO

 

Para El Salvador, Nicaragua y Costa Rica, la respuesta es Si. En El Salvador la Constitución de la República y Ley Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas (sentencias de los procesos de amparo 934-2007 y 142-2012).

 

En Nicaragua el artículo 4 del Reglamento de la Ley No. 787 establece que el consentimiento debe ser: libre, es decir que no medie error, mala fe, violencia o dolo que afecten la voluntad del titular; específico, solo para el o los fines determinados; e informado, es decir, al titular se le debe hacer saber de forma clara el aviso informativo previo al tratamiento de sus datos, y se le debe informar de las consecuencias de dar o no su consentimiento. También se establece que el consentimiento podrá ser otorgado por escrito o por otro medio idóneo, físico o electrónico o de forma verbal. El artículo 5 del Reglamento de la Ley 787 establece que será válido el consentimiento tácito como regla general, salvo en los casos que expresamente se requiera consentimiento expreso; pero de conformidad con el artículo 11 del mismo reglamento corresponde al responsable del fichero de datos demostrar en todos los casos de reclamo que contaba con el consentimiento del titular, por lo cual es recomendable conservar evidencia del consentimiento otorgado.

 

Y para Costa Rica, el consentimiento informado debe tener un contenido específico: existencia de la base de datos, fines que se persiguen, destinatarios de la información y quienes podrán consultarla, del carácter obligatorio o facultativo, tipo de tratamiento que se dará, consecuencias de la negativa, derechos, identidad y dirección del responsable. Además, ser previo, libre, específico, informado, inequívoco, individualizado y por escrito (físico o digital).

 

  1. ¿Contempla la legislación existente categorías de datos personales, por ejemplo, datos sensibles, datos de acceso restringido, datos de acceso irrestricto?

 

Para El Salvador se establece la Constitución de la República, Ley de Deberes y Derechos de los Pacientes y Prestadores de Servicios de Salud y Ley Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas. Ley Especial contra los Delitos informáticos y conexos. En Honduras sólo se regula los datos personales confidenciales.

 

Para Nicaragua, la legislación establece categorías:

  • Datos sensibles,
  • Datos personales relativos a la salud,
  • Datos personales informáticos, que son los tratados a través de medios electrónicos o automatizados.
  • Datos personales comerciales, que son los datos sensibles de las empresas, sus bases de datos de clientes, proveedores, recursos humanos, etc.

 

Y en Costa Rica, se contempla la existencia y definición de datos sensibles, datos de acceso restringido, datos de acceso irrestricto y datos crediticios.

 

  1. ¿Existe regulación específica para los datos sensibles?

En Guatemala, la ley de acceso a la información pública establece que se entiende por datos sensibles o datos personales sensibles: Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o actividad, tales como los hábitos personales, el origen racial, el origen étnico, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos, preferencia o vida sexual, situación moral y familiar u otras cuestiones íntimas de similar naturaleza. 

 

En El Salvador se especifica en las sentencias de los procesos de amparo 934-2007 y 142-2012. Asimismo, existen legislaciones especiales que clasifican ciertas categorías de datos como sensibles como la Ley de Deberes y Derechos de los Pacientes y Prestadores de Servicios de Salud y Ley Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas, Ley Especial contra los Delitos informáticos y conexos. “son los que corresponden a una persona en lo referente al credo, religión, origen étnico, filiación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, situación moral, familiar y otras informaciones íntimas de similar naturaleza o que pudieran afectar el derecho al honor, a la propia imagen, a la intimidad personal y familiar”

 

En Nicaragua, se prohíbe la creación de ficheros de datos personales que almacenen información de datos sensibles, éstos solo pueden ser obtenidos y tratados por razones de interés general de la ley o con el consentimiento del titular u orden judicial.  Pueden ser tratados con fines estadísticos o científicos cuando no puedan ser identificados sus titulares.

 

En Costa Rica, ninguna persona está obligada a suministrar datos sensibles, se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual. Hay ciertas excepciones.

 

Para Honduras, si bien no existe regulación específica para los datos sensibles, se aplica el artículo 3 numeral 7) de la Ley de Transparencia y Acceso a la Información Pública, el cual regula los datos personales confidenciales, entre otros: origen étnico, racial, creencia, ideología.

 

  1. ¿Existen excepciones legales a la obtención de consentimiento informado o recopilación de datos personales sin el consentimiento del titular?

 

Si, en Guatemala, la Corte de Constitucionalidad ya ha establecido en su jurisprudencia que, como todo derecho, el derecho a la autodeterminación informativa no es absoluto. Este derecho deberá ceder ante las acciones que persigan garantizar los valores y fines supremos del Estado (la vida, la libertad, la justicia, la seguridad, la paz y el desarrollo integral de la persona) en el entendido que estos valores constituyen un interés colectivo o general, cuyo cumplimiento o realización supera la relevancia que tiene para la sociedad mantener ciertos datos personales en reserva (el caso de una investigación delictiva, por ejemplo).

 

En El Salvador, el tribunal constitucional es congruente con su línea jurisprudencial y afirma que no existen derechos absolutos, por tanto, el derecho a la autodeterminación informativa tiene límites en su aplicación en razón del interés general, entre ellos se mencionan el buen funcionamiento del tráfico económico y la seguridad del sistema financiero. Esto último, permite en ciertos supuestos específicos como el cumplimiento de obligaciones contractuales (envío de estados de cuenta, trasmitir datos de pago en ecosistemas de pagos, entre otros) o el cumplimiento de obligaciones legales (enviar reportes a las instituciones estatales, resguardar la información por disposiciones legales, entre otras) estar legitimado para tratar o compartir los datos sin autorización, estrictamente para el cumplimiento de la finalidad contractual o de la obligación legal.  Asimismo, para temas regulados por la Ley Especial Reguladora de los Servicios de Información Crediticia de las Personas Naturales.

 

Honduras, en el Reglamento de la Ley de Transparencia y de Acceso a la Información Pública. Art. 44., se especifica que cuando sean necesarios por razones de estadísticas, científica o de interés general, por orden judicial.

 

Nicaragua, la legislación establece como excepciones: cuando exista orden motivada, dictada por autoridad judicial competente; cuando los datos personales se sometan a un procedimiento previo de disociación, que imposibilite la asociación del titular de los datos con la información; cuando tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; y en caso los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento. Además, establece la ley que no será exigido el consentimiento por razones de salud pública, interés social o de seguridad nacional.

 

Costa Rica, existen excepciones al consentimiento informado y excepciones a la autodeterminación informativa, son diferentes. Autodeterminación es un derecho fundamental, decidir sobre la información y la cantidad que conste en cualquier base de datos, para qué está siendo utilizada, así como exigir que sea rectificada, actualizada, complementada o suprimida, ¿cuándo no tengo derecho a decidir? R/- Seguridad del Estado, prevención, investigación y persecución de delitos penales o infracciones de profesionales, bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas, La adecuada prestación de servicios públicos y La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales. cuando exista orden de un juez, cuando se trate de datos de acceso irrestricto, cuando deban ser entregados por disposición legal o constitucional. Excepciones al consentimiento informado: orden de juez, datos de acceso irrestricto obtenidos de fuentes de acceso general, deban ser entregados por ley.

 

  1. ¿Existen sanciones aplicables a las personas físicas o jurídicas por incumplimiento de temas de protección de datos personales?

En Guatemala no existen sanciones. Sin embargo, en el resto de la región sí. Estas son las sanciones en cada país.

 

El Salvador:

 

Las infracciones graves con multa de hasta doscientos salarios mínimos mensuales del sector comercio y servicios y hasta trescientos salarios mínimos mensuales del sector comercio y servicios, si la afectación es a intereses colectivos difusos;

 

  • Las infracciones muy graves con multa de hasta cuatrocientos salarios mínimos mensuales del sector comercio y servicios, y hasta quinientos salarios mínimos mensuales del sector comercio y servicios, si la afectación es a intereses colectivos o difusos;
  • Suspensión de las operaciones en caso de reincidencia en infracciones muy graves, por un plazo no mayor a noventa días;
  • En caso de reincidencia en la suspensión de operaciones, o no se subsanen los motivos por los que fue suspendida, se procederá a la cancelación de la facultad de operar.


La Cuantía de las sanciones se mide bajo los siguientes parámetros:

 

  • Gravedad de la infracción, Daño o Cuantía de los Perjuicios causados
  • La duración de la infracción
  • Beneficio económico que obtuvo el infractor con el hecho
  • Tamaño de la empresa
  • El impacto en los derechos del consumidor
  • La naturaleza del perjuicio causado o grado de afectación a la vida, salud, integridad o patrimonio de los consumidores
  • El grado de intencionalidad del infractor, el grado de participación en la acción u omisión, cobro indebido realizado y las circunstancias en que ésta se cometa
  • La reincidencia o incumplimiento reiterado

El procedimiento para la aplicación de las sanciones será de conformidad a lo establecido en la ley de protección al consumidor y a la ley de supervisión y regulación del sistema financiero, según corresponda sin prejuicio de lo dispuesto en la Ley de Historial Crediticio, siendo La defensoría del consumidor y/o la Superintendencia las entidades sancionadoras, fundamentando y determinando las sanciones bajo una resolución sancionatoria.

 

Honduras:

 

  1. Amonestación por escrito,
  2. Suspensión en caso de reincidencia,
  3. Multa hasta 26 salarios mínimos,
  4. En caso de ulterior reincidencia, cesantía o despido, de no ser servidor público multa de 45 a 50 salarios mínimos.
  5. En caso no previsto en la ley, si alguien recoge o capta datos personales o se niega a rectificarlos o eliminar información falsa multa de 15 a 25 salarios.

 Nicaragua:

 

El artículo 46 de la Ley 787 establece las sanciones aplicables por incumplimiento de las obligaciones en materia de protección de datos, esto sin perjuicio de las responsabilidades administrativas de los responsables o usuarios de los ficheros de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la Ley, y de las sanciones penales aplicables.

 

Las sanciones se aplicarán según el tipo de infracción, y estas son:

  1. Apercibimiento;
  2. Suspensión de operaciones relacionadas con el tratamiento de los datos personales; y
  3. Clausura o cancelación de los ficheros de datos personales de manera temporal o definitiva.

Costa Rica: Existen faltas leves, graves y gravísimas (de 5 a 30 salarios base, es decir desde 2250 mil hasta 13 millones de colones). Algunas faltas son: no informar de manera suficiente, no garantizar la seguridad de los datos, no solicitar consentimiento informado, transferencias de datos no autorizadas, negar los derechos ARCO, recolectar datos sensibles, recopilar mediante engaño o amenaza, no inscribir la base de datos, transferir datos al extranjero. Delito, violación de datos personales, prisión de 1 a 4 años.