1
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/KE4YZQUDCZS4F5XCDLR4Z32N5I.jpg)
Con motivo de mi participación en la 39ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Hong Kong el pasado mes de septiembre de este año, se destacó la importancia de deliberar si ya es tiempo de romper paradigmas como la fórmula sacramental de que el consentimiento del titular de los datos es la única causa que valida y habilita cualquier tratamiento de los mismos. Cuestionamiento que cada vez es más recurrente con el desarrollo vertiginoso de las tecnologías de la información y su impacto en el derecho fundamental a la protección de datos personales.
Esto tiene como antecedente la creación de los llamados Estándares Iberoamericanos que surgieron como propuesta del XIV Encuentro Iberoamericano de Protección de Datos, celebrado en Colombia el año pasado. Estos Estándares han de servir como referencia para aquellos países que aún no cuentan con legislación en la materia, o bien, para reforzar el marco normativo de aquéllos que ya disponen de ella, tarea que, desde sus orígenes, estuvo a cargo del INAI.
Una de las innovaciones de los Estándares Iberoamericanos es el reconocimiento del principio de legitimación que, contrario a la fórmula sacramental del consentimiento, se constituye en la piedra angular que habilita cualquier tratamiento de datos personales basado en diferentes supuestos como son:
1. El consentimiento del titular, el cual, en caso de que sea necesario, el responsable está obligado a demostrar de manera indubitable que el titular otorgó éste, ya sea a través de una declaración o una acción afirmativa clara.
2. El cumplimiento de una disposición legal, orden judicial o resolución o mandato fundado y motivado de autoridad pública competente.
3. El ejercicio de facultades propias de las autoridades públicas.
4. El reconocimiento o defensa de los derechos del titular ante una autoridad pública.
5. La ejecución de un contrato o contrato preliminar en el que el titular sea parte.
6. El cumplimiento de una obligación legal aplicable al responsable.
7. La protección de intereses vitales del titular o de otra persona física.
8. El interés legítimo del responsable.
9. Por razones de interés público.
Estoy más que convencido, que esta nueva fórmula rompe el paradigma que se ha tenido por años de que el consentimiento del titular, entendido como la manifestación de su voluntad, es la piedra angular de este derecho fundamental, cuestión que en fechas recientes se ha visto superado con mayor frecuencia a raíz de ciertos tratamientos de datos personales que surgen día con día de la mano del desarrollo vertiginoso de las tecnologías de la información, como podría ser el big data.
Es por ello que se considera que los instrumentos internacionales y las legislaciones nacionales podrían considerar una nueva concepción del derecho a la protección de datos personales que no necesariamente se base en el consentimiento del titular como la única causa para habilitar el tratamiento de los datos personales, sino reconocer otros ejes habilitantes donde el consentimiento sea uno más, pero no el único, cuestión que en el horizonte europeo ya es una realidad en el nuevo Reglamento de Datos Personales y en la región iberoamericana a través de los Estándares.
Lo anterior, considerando que existen nuevas realidades tecnológicas que obligan a replantear el esquema tradicional y con el ánimo de cumplir la premisa que señala que el derecho debe ir adaptándose a la realidad y no a la inversa, ya que se correría el riesgo de que la fórmula tradicional, es decir reconocer al consentimiento como la única causa de legitimación de cualquier tratamiento de datos personales, se convierta en algo obsoleto o de aplicación nula.
El autor es comisionado del INAI.
También te puede interesar:
El acceso a la información y el derecho a un medio ambiente sano
Corrupción y transparencia
La exigencia de responsabilidades