Los reclamos de modernización o de transparencia de la gestión pública se dirigen primero contra la Municipalidad puesto que tiene por naturaleza proximidad territorial. Toda acción o inacción en la administración pública, en el caso de los gobiernos locales es más notable y de rápida diseminación.
En el desarrollo de sus funciones municipales –determinadas en la Ley Orgánica Municipal (Nº 3966/10)– las Municipalidades recaban y guardan datos de carácter personal de los/as ciudadanos/as, almacenados en forma automatizada, o no. Por ejemplo, aquellos de carácter identificativo (nombre, teléfono, imagen) sea en la expedición de registros de conducir, obras y licencias; de carácter tributario (impuestos, tasas y contribuciones), profesional (procedimientos selectivos y recursos humanos) o por ejercicio de la potestad sancionadora (sumarios y sanciones). Expresamente la Ley Orgánica Municipal establece, por ejemplo, el sistema de información catastral (art. 230) y el prontuario municipal (art. 80).
Por otro lado, a través de distintas normas son encomendados registros a cargo de las Municipalidades. Así, el registro de la asociación de consumidores (Ley Nº 1334/98); el registro de adolescentes trabajadores (Ley 1680/01); el registro nacional de licencias de conducir y antecedentes de tránsito (Ley Nº 5016/14 y Decreto Nº 3427/15); el portal unificado de información pública (Ley Nº 5282/14 y Decreto Nº 4064/15); la gestión de residuos sólidos (Decreto Nº 7391/10 que reglamenta la Ley Nº 3965/09) y otras. Además, el proceso de obtención de la pensión alimentaria para adultos mayores se inicia en el registro de la Municipalidad donde reside el peticionante (Decreto Nº 4542/10 modificado por el Nº 3303/15).
En consecuencia, para las Municipalidades –y las entidades públicas en general– una tercerización de servicios públicos conllevaría transferencia de datos de los contribuyentes y usuarios. No sería preciso tomar tanto recaudo si no fuera porque la administración pública en Paraguay entró a la era de gobierno electrónico desprovista de una ley que asegure el cumplimiento de las garantías constitucionales para el tratamiento de datos personales y que resguarde con firmeza los derechos a la libertad de expresión, la libertad de informarse, de hacer uso de la propia imagen, al goce de la intimidad personal y familiar, y sus derechos conexos.
Todos los beneficios, en un solo lugar Descubrí donde te conviene comprar hoy
No obstante, un paso de enorme importancia ha sido la aparición de la Ley Nº 5282/14 “De libre Acceso ciudadano a la información pública y transparencia gubernamental”, que diseña la arquitectura de un sistema de gestión de la información apoyado en plataformas digitales, con plazo de respuesta a la solicitud, en la misma línea que lo hizo la Ley Orgánica Municipal (no mayor de quince días). Existen avances significativos tales como, entre otros, la ampliación de los derechos del consumidor de bienes y servicios por vía electrónica en la Ley Nº 4868/13 “De comercio electrónico”, que incentiva el uso de los comprobantes de pago electrónico a todas las entidades públicas, incluidas las Municipalidades y Gobernaciones; y las disposiciones de la Ley Nº 5476/15 “Que establece normas de transparencia y defensa al usuario en la utilización de tarjetas de crédito y débito”.
Ahora bien, el acceso y almacenamiento de datos personales se aborda en la Ley Nº 1682/01 “Que reglamenta la información de carácter privado” (sus modificatorias: Nº 1969/02 y Nº 5543/15) referidos a la situación patrimonial, la solvencia económica, el cumplimiento de obligaciones comerciales y financieras, es decir, no abarca todos los datos personales. La Ley Nº 1682/01 garantiza la tutela de aquellos datos por parte del Estado, pero será la persona interesada quien deba promover las acciones para el ejercicio de sus derechos sobre la protección de los mismos y carece de determinación de los medios para acreditarse el consentimiento expreso del afectado. Tal como está redactada la ley, expone a las personas interesadas o titulares de datos a violaciones de sus derechos y no alcanza para garantizar seguridad jurídica.
Una de las novedades de la Ley Nº 6083/18 “Que modifica la Ley Nº 1680/01 Código de la Niñez y la Adolescencia” es que prohibe la difusión, entrevista o publicación –por cualquier medio– de datos (nombres, imágenes, audios) que posibilite identificar a niños/as o adolescentes víctimas o supuestos autores de hechos punibles. Reforma a tenerse en cuenta en la labor de las Consejerías por los Derechos del Niño y la Niña (CODENI), que dependen de las Municipalidades.
La breve referencia al marco normativo infraconstitucional es no menor porque irrumpe un nuevo paradigma que se expande con el Reglamento General de Protección de datos (RGPD) de la Unión Europea y que incita revisar a nivel global el tratamiento de datos empezando por comprender de qué hablamos cuando decimos “datos”, puesto que en nuestra legislación no existe el concepto. Para el RGPD es “toda información sobre una persona física identificada o identificable (“el afectado”). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
El consentimiento para el tratamiento (recogida, registro, organización, consulta y demás) está entre los cambios más resaltantes, porque debe ser otorgado mediante una manifestación expresa, es decir, que muestre voluntad de consentir, quedando fuera los consentimientos “tácitos” como el uso de casillas marcadas de antemano o la inacción.
Para los niños/as y los adolescentes, el RGPD refuerza las medidas de protección porque “...pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales...” y además establece que los Estados miembros pueden determinar por ley el consentimiento siempre que la edad no sea inferior a 13 años ni superior a 16.
El RGDP contiene una serie de “categorías especiales de datos” como son las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, que dejen ver origen étnico, salud o la orientación sexual, sobre los que hay prohibición de tratamiento como regla general. Las excepciones son los casos en que el afectado ha hecho públicos esos datos personales, cuando el tratamiento es necesario para la protección de intereses vitales del afectado si no está capacitado sea física o jurídicamente para dar su consentimiento y situaciones específicas donde deben prevalecer garantías del respeto de derechos fundamentales y de intereses del afectado.
En la norma europea la figura del “responsable” es clave porque determina “por qué” y “cómo” deben tratarse los datos personales. Los empleados o funcionarios que realizan el tratamiento de los datos personales en la entidad, lo hacen en cumplimiento de las funciones que ejerce el responsable del tratamiento. Acompaña a esta figura el “encargado” cuyas obligaciones con respecto al responsable deben especificarse en un contrato u otro acto jurídico. Los “responsables” y “encargados” del tratamiento de datos (las entidades de la Administración Pública para nuestro caso) deben tener un registro de actividades de tratamiento que incluye los fines del tratamiento y las bases jurídicas, explícitas y precisas. También las descripciones de las medidas técnicas y organizativas de seguridad y, cuando sea posible, plazos previstos para la supresión de las diferentes categorías de datos. Los datos personales se mantienen durante no más tiempo del necesario para los fines del tratamiento de los mismos, pudiendo conservarse por plazos más largos cuando tengan por objeto fines de archivo de interés público, fines de investigación científica o histórica, o fines estadísticos.
Para el RGPD, el tratamiento de los datos personales tiene fines limitados: determinados y legítimos, no serán tratados posteriormente de una manera incompatible con dichos fines y ello incide en la actividad de la Administración Pública y las Municipalidades. La utilización de los datos para cualquier otra finalidad distinta a la relacionada con la cual se otorgó el consentimiento, necesita otra legitimación específica a la luz de las normas en la materia. Bajo el supuesto de que se obtenga el consentimiento para varias finalidades sería posible agruparlas en atención de su vinculación, como por ejemplo para la recepción de publicidad propia o de terceros.
La carga de la prueba del consentimiento del afectado corresponde al responsable y aquel tendrá derecho a retirar su consentimiento en cualquier momento. El retiro del consentimiento debe ser tan sencillo como darlo.
Además, el responsable debe llevar a cabo una valoración del riesgo de los tratamientos que realice, en vista a que una vulneración del deber de secreto porque la entidad a cargo no garantiza la confidencialidad, puede suponer consecuencias negativas para el responsable como para las personas físicas cuyos datos fueron revelados. Producido un quiebre de seguridad, el responsable cuando exista riesgo para los derechos y libertades de las personas físicas, tiene la obligación de reportarlo, habiendo excepciones como que se habían adoptado medidas que garantizan que no existe el peligro para los derechos y libertades.
El nuevo marco regulador europeo nos hace pensar en la necesidad de estudio y debate sobre una ley orgánica de protección de datos personales (que empuje el tratamiento del postergado Proyecto de Ley de procedimientos administrativos) y aliste las municipalidades para lo que se viene, las “smart cities” o ciudades inteligentes.
* Abogada
mariela_centurion@uc.edu.py