En búsqueda del balance: “Acceso a la Información Pública y Protección de Datos Personales: el rol de la autoridad de aplicación”

Experiencias desde Argentina y otros países iberoamericanos

Open Data Charter
opendatacharter
Published in
8 min readSep 20, 2023

--

Por: Florencia Caffarone. Co-directora, Democracia en Red. , con contribuciones de Renato Berrino Malaccorto, Gerente de investigaciones, Open Data Charter

Congreso de la Nación Argentina

El contexto de Argentina

En el contexto de un año marcado por las elecciones y con poco trabajo legislativo en Argentina, se está tratando un nuevo proyecto de datos personales en las comisiones de la Cámara de Diputados de la Nación. Uno de los puntos clave — al menos para quienes seguimos la agenda de Datos Abiertos y Acceso a la Información — que se debate sobre este proyecto, presentado por la Agencia de Acceso a la Información Pública, es la autoridad de aplicación y las tensiones con la ley de acceso a la información pública. En este escenario voy a exponer el estado de situación argentino y un breve repaso por las autoridades de aplicación de otros países.

Una ley vieja: Datos personales

La Ley de Datos Personales argentina se encuentra en vigencia desde el año 2000. Con ese único dato, está claro que esta normativa quedó obsoleta y carece de la capacidad para abordar los avances de los últimos años, así como las crecientes y cada vez más refinadas metodologías utilizadas en el manejo de nuestros datos en la era digital. En el año 2020, redactamos un artículo que pone de manifiesto que la ley pertenece a una época pasada. Por ejemplo, la información proporcionada por las víctimas de violencia de género que abarca datos sumamente sensibles carece de protocolos específicos que definan de manera clara qué datos deben ser solicitados, Con qué propósito, cómo han de ser almacenados y qué procedimientos se encuentran disponibles para la eliminación de dichos registros.

Un ley nueva: Acceso al a Información Pública

Por otro lado, en 2016, Argentina logró un gran hito: la promulgación de la Ley 27.275 de Acceso a la Información Pública, que permite conocer y utilizar la información que tienen o producen los tres poderes del Estado. Un informe de ACIJ de 2021 analiza los logros de la ley y refleja que la mayoría de los sujetos obligados cuentan con medios electrónicos para recibir pedidos de información y que en todos los poderes del Estado, el nivel de respuesta a los pedidos de información es alto: en promedio, se respondieron más del 90% de las solicitudes. Sin embargo, allí también se destaca que las Agencias de Acceso a la Información Pública (cada poder debe crear su propia agencia) prácticamente no han utilizado las facultades de reglamentación y sanción que les otorga la ley para asegurar el cumplimiento de la norma en sus respectivos sujetos obligados. En términos generales, la ley de Acceso a la Información Pública es una ley que logró grandes avances aunque todavía tiene desafíos importantes en su implementación, especialmente en los demás poderes y órganos además del Poder Ejecutivo.

El balance entre la ley nueva y la ley vieja

¿Podría una nueva legislación de protección de datos personales entrar en conflicto con la Ley de Acceso a la Información Pública y deshacer los avances alcanzados? El delicado equilibrio entre estos dos derechos fundamentales, el acceso a la información y la preservación de la privacidad, se halla en un estado de constante tensión.

En ocasiones, se presentan desafíos significativos cuando se intenta obtener información pública relacionada con individuos, desde beneficiarios de programas de asistencia social hasta datos sensibles en documentos públicos. Asimismo, surge complejidad en el manejo de información de funcionarios públicos, abarcando desde la simple lista de empleados hasta la divulgación de datos médicos de altos dirigentes. En conclusión, se puede referir a la Ley de Datos Personales para justificar la negación de acceso a ciertos datos, usualmente relacionados con funcionarios públicos y personas con influencia. Esto plantea un debate sobre el riesgo de utilizar ambas leyes para favorecer a individuos poderosos y perjudicar a aquellos en situaciones más vulnerables. Existen distintas propuestas y técnicas que nos permiten seguir trabajando en acceso a la información y datos abiertos por una sociedad más democrática y justa, respetando el derecho a la privacidad.

Las leyes de Protección de Datos y las leyes de Acceso a la Información (o políticas de Datos Abiertos) deben dialogar entre sí. Especifican qué información es personal y confidencial, y brindan alternativas para su publicación con diferentes técnicas. Un buen ejemplo es la Ley Modelo de Acceso a la Información 2.0 de la Organización de los Estados Americanos, que establece la información reservada y los datos personales, y de qué manera se puede tratar o compartir la información de manera parcial o con consentimiento. El GDPR, en sintonía, destaca que se debe conciliar el acceso público a los documentos oficiales con el derecho a la protección de los datos personales.

La autoridad de aplicación

La Agencia de Acceso a la Información en Argentina fue establecida por la ya nombrada ley 27.254 como una entidad autónoma con independencia operativa en el marco de la Jefatura de Gabinete de Ministros de la Nación y es el órgano de control encargado de hacer cumplir la ley de protección de datos personales, la ley de acceso al a información pública y las tensiones inherentes entre ambos derechos. Pero ¿cómo lograr un equilibrio justo cuando esta misma entidad debe garantizar tanto la seguridad de los datos personales como la apertura de datos que, en ciertos casos, contienen información personal?. El nuevo proyecto sigue este enfoque centralista, pero ¿cómo se aborda esta cuestión en otros países?

Un recorrido por otros países

Con el apoyo de TrustLaw, el programa Pro Bono de Thomson Reuters Foundation, impulsamos una investigación que incluyó una comparación de diversos aspectos de 10 leyes de protección de datos personales en países distintos. En este estudio, observamos la autoridad de aplicación y encontramos diferentes modelos. En algunos casos, la Autoridad de Aplicación es la misma para las leyes de protección de datos personales y acceso a la información pública, mientras que en otros no lo es. Incluso en algunos países tienen órganos autónomos y en otros casos no. Ejemplos internacionales ejemplifican estas diferencias:

  • En Brasil, la Ley General de Protección de Datos de 2018, en vigor desde 2021, estableció la Autoridad Nacional de Protección de Datos (ANPD). Esta entidad busca equilibrar el acceso a la información con la protección de los datos personales bajo el marco de la Ley de Acceso a la Información, teniendo límites en la divulgación de datos personales por parte de entidades públicas.
  • Colombia cuenta con la Superintendencia de Industria y Comercio (SIC) como autoridad de protección de datos. Aunque opera de manera independiente, sigue siendo parte del Ministerio de Comercio, Industria y Turismo.
  • En España, la Agencia Española de Protección de Datos (AEPD) supervisa la implementación de las normativas de protección de datos (LOPDGDD y el RGPD). Funciona como una entidad administrativa independiente con capacidad jurídica y plena autonomía en sus funciones.

Por otro lado, los países que tienen un solo organismo son:

  • México cuenta con el Instituto Nacional de Acceso a la Información Pública y Protección de Datos Personales (INAI) para proteger los datos y para garantizar el acceso a la información pública. Los recursos de revisión deben ser discutidos en el pleno del organismo de forma colegiada y las resoluciones deben ser tomadas mediante la mayoría de votos de los comisionados. Al respecto, la ley no cuenta con un procedimiento especial para resolver las controversias entre los derechos de acceso a la información y protección de datos personales. Los casos en que estos derechos entran en conflicto son resueltos siguiendo el mismo procedimiento que cualquier otro recurso de revisión.
  • Uruguay, con la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) que busca mejorar los servicios al ciudadano a través de tecnologías de la información. La AGESIC cuenta con la Unidad de Acceso a la Información Pública. Y la ley 18.331 crea una unidad independiente llamada Unidad Reguladora y de Control de Datos Personales. Es un órgano desconcentrado de la AGESIC. En los hechos, cuando un caso llega a consideración de alguna de las dos unidades encargadas de implementar el derecho en la administración (URCDP y UAIP) e involucra la armonización de los dos derechos, se produce una consulta entre los organismos.

En un reciente artículo publicado por la Unidad de Gobierno Abierto de la OCDE, titulado “El futuro del acceso a la información: Garantizar la complementariedad entre el derecho a la información y la protección de datos personales”, se reconoce que aunque en la mayoría de los países ambos se tratan como marcos jurídicos separados y requieren capacidades técnicas diferentes, las sinergias reconocidas están empujando a los gobiernos a considerar la centralización de estas áreas a través de una única institución.

Explorar este enfoque brindaría a estas instituciones la oportunidad de reconocer y explotar las conexiones entre ambos ámbitos políticos y garantizar la defensa de los datos personales y la privacidad, permitiendo al mismo tiempo el pleno acceso a la información pública. También podría fomentar la coherencia de las políticas en este ámbito, que de otro modo podría estar fragmentado y aislado, con enfoques y resultados diferentes procedentes de dos organismos públicos desalineados e independientes.

Conclusiones
El equilibrio entre las regulaciones de acceso a la información y las de protección de datos plantea un desafío, pero desde el órgano de control se observan diversos enfoques. En algunos casos, la entidad encargada de hacer cumplir las leyes de protección de datos coincide con la responsable de la Ley de Acceso a la Información Pública. Sin importar su adscripción, es crucial la colaboración para asegurar el cumplimiento de ambas leyes y la protección de los derechos correspondientes. Ante esta disyuntiva, ¿cuál es el mejor camino a seguir? El contexto importa. Es pertinente examinar qué sistema, tomando en cuenta cada situación y las lecciones del pasado, podría impulsar una implementación más efectiva de ambas leyes. A nivel de estructuras de gobernanza pública, es importante que los Órganos de control de aplicación de las leyes de acceso a la información pública y protección de datos personales, tanto si están bajo la misma órbita como si no, trabajen en sinergias en la salvaguarda de ambos derechos interconectados para garantizarlos.

--

--

opendatacharter
opendatacharter

Published in opendatacharter

Learn how we are working towards a culture of open and responsible data use by governments and its citizens.

Open Data Charter
Open Data Charter

Written by Open Data Charter

Collaborating with governments and organisations to open up data for pay parity, climate action and combatting corruption.

No responses yet