LA CONVENCIÓN 108.
El Convenio 108 es el único instrumento multilateral jurídicamente vinculante de protección de datos de carácter personal, que en la actualidad cuenta con más de 55 Estados signatarios y más de 25 observadores.
Sus orígenes se remontan a 1981, cuando los Estados miembros del Consejo de Europa reconocieron la necesidad de abordar la protección de datos desde una perspectiva internacional.
La intensa circulación transfronteriza de datos de carácter personal hizo necesaria la suscripción de este convenio con el fin de garantizar, en los territorios de cada parte signataria, el derecho a la vida privada y adaptar su derecho interno para hacer efectivos los principios básicos de la protección de datos enunciados en el mismo. En 2018 se propuso la actualización del convenio para adaptarlo a los retos de la protección de datos en la sociedad digital, denominándose, desde ese momento, Convenio 108+.
Además de lo anterior, hay que tener en cuenta el nivel de intrusión del reconocimiento facial, puesto que la afectación a los derechos de privacidad y protección de datos varía según la situación en la que se utilice.
Por ejemplo, el uso de las tecnologías basadas en reconocimiento facial que permitan identificar “en directo” en zonas públicas o semipúblicas (como los parques o los centros comerciales) supone una gran intrusión en el derecho a la privacidad y la dignidad de las personas y puede tener un grave impacto en los derechos humanos y las libertades fundamentales, por lo que se recomienda que su uso sea regulado tras el procedimiento legislativo de derecho interno que corresponda, según cada Estado miembro, destacando que debería ser sometido a un debate democrático.
Otro de los usos que se recomienda prohibir afecta a aquellas situaciones en que esta tecnología tenga como único fin determinar el color de piel de las personas, sus creencias religiosas, su raza, su sexo, su edad, su condición social, económica o de salud, o aquellos que permitan el “reconocimiento afectivo”, es decir, clasificar las emociones humanas o la salud mental de las personas; todo lo anterior salvo que se establezcan adecuadas garantías legales para evitar cualquier riesgo de discriminación sin descartar que una excepción sería, por ejemplo, su uso en un proyecto de investigación con fines médicos.
Otra recomendación muy relevante tiene como finalidad que la legislación por implementar debe asegurar que las imágenes disponibles en formato digital no se procesen para extraer “modelos biométricos”, o integrarlos en sistemas de reconocimiento facial, sin que se recabe un consentimiento expreso, especialmente cuando esas imágenes disponibles en la red se compartieron para otro uso, por ejemplo las redes sociales, o si fueron obtenidos por cámaras de videovigilancia u otras bases de datos.
En definitiva, sólo se debería autorizar la extracción de modelos biométricos de imágenes ya digitalizadas cuando se trate de un interés legítimo, permitido por la ley y, además, cuando sea estrictamente necesario y proporcionado para esos propósitos.
El 12 de junio de 2018 se publicó en el Diario Oficial de la Federación el decreto por el cual se aprueban dos importantes documentos:
1. el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal del 28 de enero de 1981 (conocido como el Convenio 108), y 2. su Protocolo Adicional del 8 de noviembre de 2001, relativo a las autoridades de control y a los flujos transfronterizos de datos.
Éste es uno de los documentos más importantes a escala internacional que busca crear un marco legal en materia de protección de datos personales, si no es que el más importante. Adoptado por el Consejo de Europa hace más de 35 años, es el primer documento abierto a países no miembros de la Unión Europea y es también considerado el primer instrumento internacional jurídicamente vinculante en el área de la protección de datos, ya que obliga a las partes firmantes a tomar las medidas necesaria a nivel doméstico para adecuar su legislación a los principios establecidos por el Convenio en el ámbito del tratamiento de la información personal de las personas.
El objetivo principal de este acuerdo internacional es lograr un equilibrio entre la protección de la información personal y la necesidad de mantener el libre flujo de datos personales entre países, de tal manera que los flujos internacionales de datos personales no representen un freno al comercio internacional.
El Convenio basa su contenido en las resoluciones del Consejo de Europa de 1973 y 1974, estableciendo los principios básicos para la protección de los datos personal tratados por medios automáticos y establece que los datos obtenidos por los países firmantes:
- Deberán ser obtenidos de manera leal y legítima.
- Deberán ser tratados para finalidades determinadas y no podrán ser utilizados de forma incompatible con dichas finalidades.
- Deberán ser adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se han obtenido los datos.
- Deberán ser exactos y si fuera necesarios puestos al día.
- Deberán ser conservados de tal forma que se permita identificar al titular de los datos durante el tiempo de conservación que no podrá ser mayor que aquel necesario para las finalidades para las cuales se han obtenido.
Obliga a adoptar medidas de seguridad apropiadas para la protección de la información personal que integra las bases de datos electrónicas para evitar su destrucción, pérdida accidental o su acceso, modificación o difusión no autorizada.
El capítulo III del Convenio 108 establece las bases para los flujos transfronterizos de datos personales y señala que las transferencias de datos personales realizadas entre países firmantes del Convenio se llevarán a cabo sin que los países impongan prohibiciones o exijan autorizaciones especiales en materia de protección de datos personales.
La razón de esto tiene que ver con que al firmar el Convenio se asume que las partes cuentan con un nivel mínimo de protección respecto de la información transferida, por lo que mayores requisitos no serían necesarios.
Un tema toral del Convenio son las transferencias de información entre los países miembros, esto es, las partes firmantes se obligan a contar con una autoridad que será el contacto con la autoridad de cumplimiento europea y deberán prestar asistencia otros países en el intercambio de información y apoyar a personas con residencia en el extranjero para el ejercicio de sus derechos.
No obstante que México ya cuenta con una ley de protección de datos tanto para entidades públicas como privadas, adherirse al Convenio 108 representa un paso muy importante hacia una verdadera protección de datos personales en nuestro país y el extranjero. Ahora contaremos con herramientas globales de ayuda mutua entre las más de 45 distintas jurisdicciones que ya forman parte del Convenio, para el intercambio efectivo y seguro de la información y el apoyo internacional a individuos, lo que facilitará el flujo transfronterizo de información en beneficio del Estado y los derechos de los particulares.
Fuentes utilizadas.- Adopción de México del Convenio 108 del Consejo de Europa, protección y flujo internacional de datos | El Economista / vlex / revista abogacía.