Hace ya 10 años se promulgó en la República Dominicana la Ley No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.
La principal finalidad de esta ley es establecer el marco jurídico de los derechos y obligaciones relativas al tratamiento de datos personales de los ciudadanos por parte de los responsables y encargados de ficheros. Por cierto, la coletilla “destinados a dar informes, sean estos públicos o privados” incluida al final del título de la ley es irrelevante a los fines de un tratamiento ilegítimo. Sugiere que el ámbito de aplicación sólo abarca a datos tratados a los fines de dar un informe y esto es incorrecto. El almacenamiento de registros biométricos, la reproducción no autorizada de audiovisuales con datos sensibles o tratamiento internacional de información sensitiva son ejemplos de procesamientos de datos que no suponen la emisión per se de un informe, y sin embargo, suponen un tratamiento de datos que requiere protección jurídica.
En materia de protección de datos, la Unión Europea es quien lleva la delantera y determina cuáles son los parámetros para que el tratamiento de datos de los ciudadanos sea legítimo a nivel mundial. Sentencias como la del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014 relativa al caso Google Inc. contra AEPD y Mario Costeja que dio origen al concepto “Derecho al olvido” es una muestra de la madurez del mercado europeo en materia de protección de datos.
Vivimos en un mundo conectado a través de redes de información y es necesario que exista uniformidad en los criterios legales de protección de datos, específicamente aquellos relativos a cesiones internacionales de datos personales para garantizar una tutela jurídica similar entre distintos Estados. Tras la promulgación del Reglamento General de Protección de Datos en 2018, se incrementa la protección jurídica, control de los datos personales y se requiere mayor pro-actividad por parte de los responsables de tratamientos. Muchas empresas a nivel mundial se ven en la necesidad de cambiar la forma cómo adquieren, almacenan y ceden datos personales, especialmente cuando existía una cesión internacional o tratamiento de datos sensibles.
El RGPD, que determina el Modelo Europeo de Protección de Datos, pone limitaciones a las empresas y personas físicas que almacenan, manejan, tratan o ceden datos personales de ciudadanos europeos con Estados que no ofrezcan las mismas garantías u obligaciones legales necesarias y equiparables con las del Reglamento, algo que no sucede con nuestro ordanamiento jurídico que no está adaptado a las últimas reformas relacionadas con Protección de Datos.
La promulgación de este Reglamento obligó a muchos países a adoptar normativas similares, coordinando sus legislaciones nacionales con el RGPD, como es el caso de la reciente aprobada Lei Geral de Proteção de Dados de Brasil, o el California Consumer Privacy Act (CCPA). Ambas legislaciones siguen el Modelo Europeo de Protección de Datos, lo que permite mayor uniformidad de criterios jurídicos, derechos y obligaciones entre distintos Estados garantizando una mayor custodia de la privacidad de los ciudadanos y permitiendo la inclusión de nuevos derechos: portabilidad y limitación de datos.
De acuerdo con la Ley No. 172-13, los ciudadanos dominicanos tienen cuatro derechos relativos a la protección de sus datos personales, estos son: Derecho al acceso, Derecho a la rectificación, Derecho a la cancelación y Derecho a la oposición de datos personales. Estos derechos fueron transcritos de la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal de España que contemplaba estas mismas garantías (también conocidos como Derechos ARCO por sus siglas). Sin embargo, con la entrada en vigencia del RGPD, la legislación dominicana queda desactualizada al no incluir nuevos derechos incorporados con la última reforma del reglamento como son la Portabilidad y la Limitación de los datos.
La limitación de datos personales se refiere al derecho que tienen las personas a restringir o bloquear el uso de la información a los fines de, por ejemplo, eliminar información sensible publicada en una página web o evitar que otros usuarios accedan a determinados datos, siempre que se cumplan con requisitos predefinidos.
En cambio, la portabilidad de datos es una facultad que permite a los ciudadanos exigir la transferencia de sus datos en una forma estructurada de una empresa a otra sin la intervención del interesado, siempre que se cumplan con algunos requisitos y cuando técnicamente pueda ser posible.
Procedimiento administrativo para el ejercicio de los derechos de protección de datos
El ejercicio de los derechos de protección de datos personales no debe hacerse por la vía judicial a menos que exista una negativa recurrente por parte del responsable del tratamiento ilegítimo de datos a cumplir con el requerimiento hecho por el interesado. La finalidad de una acción judicial como el Habeas Data es restringir que los datos adquiridos ilegítimamente se propaguen y en última instancia, limitar o suprimir el uso de dicha información. Cuando se apodera un tribunal para el conocimiento de este asunto, existe la posibilidad de que la información se filtre.
En los países más avanzados en materia de protección de datos personales, los ciudadanos tienen la facultad de interponer estos requerimientos para el ejercicio de sus derechos por la vía administrativa, ya sea a través de una agencia como la Agencia Española de Protección de Datos o dirección estatal como lo es la Dirección General de Protección de Datos Personales de Perú.
Disponer de una agencia, dirección o entidad administrativa específica para la protección de los datos permitiría una mayor celeridad en la resolución de denuncias, reducción significativo de costes, más discrecionalidad a la hora de crear resoluciones y directivas sobre de protección a la privacidad, así como mayor diligencia en la aplicación, persecución y sanción de tratamientos ilegítimos de datos personales o violaciones a la privacidad de los ciudadanos dominicanos.
Con una reforma al marco de protección de datos se puede garantizar una mayor tutela al incorporar nuevos derechos como la portabilidad o la limitación de datos, establecer procedimientos administrativos más eficientes para el ejercicio de los derechos siguiendo el Modelo Europeo de Protección de Datos, crear una entidad gubernamental para establecer las directivas en materia de protección de datos así como la recepción de denuncias por la vía administrativa y un régimen de sanciones para los responsables de tratamientos ilegales de datos.
Reformar la normativa de protección de datos personales en la República Dominicana, adaptándolo al Modelo Europeo de Protección de Datos establecido con el RGPD, sentaría las bases para la creación de un marco jurídico que permitiría legislar sobre almacenamiento de datos en cadenas de bloques (Blockchain), Activos Digitales (Criptodivisas) y Finanzas Descentralizadas (DeFi).
Lic. Ivar Cifré Molina es abogado egresado de la Pontificia Universidad Católica Madre y Maestra (PUCMM-Santo Domingo) especializado en Derecho Tecnológico, Comercio Electrónico, Protección de Datos y Blockchain. Ha cursado Maestrías en Derecho Mercantil en la Universidad Complutense de Madrid (UCM) y Maestría en Abogacía Internacional por el Instituto Superior de Derecho y Economía (ISDE). Es socio-fundador de JURISPIXEL, consultora legal para startups tecnológicas fundada en Madrid, España. Pertenece a NEAR Legal Guild, grupo de abogados altamente especializados que analizan las implicaciones legales de la tecnología Blockchain. Ha escrito artículos para el portal jurídico español A Definitivas y otros medios digitales. Es además Fundador-Developer de varios projectos tecnólogicos como lockIO, DMe, DocuGPT, entre otras.
Dominican Law Magazine 