Investigación revela necesidad de fortalecer protección de datos personales en bases de datos públicas

Una nueva investigación de TEDIC sobre el estado de la protección de los datos personales en las instituciones públicas revela que urge fortalecer estándares y prácticas de protección de las bases de datos del Estado. La ausencia de una legislación robusta es el principal problema que se encuentra. Todas las personas están expuesta a riesgos y abusos a raíz de esta ausencia. 

La investigación, realizada en alianza con Privacy International, una organización de Gran Bretaña pionera en la defensa de la privacidad en todo el mundo, se basó en un análisis exhaustivo de la normativa local e internacional sobre la protección de datos personales y en entrevistas en nueve instituciones del Estado: el Ministerio de Educación (MEC), Ministerio de Industria y Comercio (MIC), la Senavitat, Ministerio de Salud Pública y Bienestar Social (MSPBS), Centro Nacional de Computación (CNC), la Dirección Nacional de Aduanas, la Secretaría Técnica de Planificación, la Secretaría de Acción Social (SAS), y la Sub-Secretaría de Estado de Tributación (SET) del Ministerio de Hacienda. Algunas de las bases de datos estudiadas son las de Registro Único del Contribuyente (RUC) de la SET y el Registro Único del Estudiante (RUE) del MEC.

Las entrevistas fueron analizadas en base a estándares de protección internacionales establecidos. Algunos de estos principios son el principio de recolección, que afirma que la recolección debe ser limitada y contar con un objetivo específico; el principio de calidad de los datos, que establece que los datos deben ser exactos y actualizados; el principio de limitación en en el plazo de conservación, que establece que los datos no deben ser mantenidos por más tiempo del necesario para los fines del tratamiento de los datos; y el principio de seguridad, que promueve la protección de los datos personales recolectados ante eventuales riesgos como pérdida, sabotajes, destrucción, etc.

Algunos de los hallazgos más importantes de las entrevistas son:

  • De acuerdo al testimonio de los funcionarios entrevistados, existe un panorama mixto en cuanto a la existencia de estándares y prácticas adecuadas de protección de datos personales contenidos en bases de datos públicas.

  • Si bien hay indicios de la aplicación de algunas buenas prácticas, la ausencia de una normativa robusta que aplique a todas las instituciones es el principal problema que se encuentra.

  • Los responsables a cargo de las bases de datos tienen poca familiaridad con estándares de protección de datos personales, ya sean regulaciones internas, nacionales o internacionales.

  • Un principio que no se cumple es el de establecer un límite al almacenamiento de los datos personales. Casi todas las instituciones carecen de protocolos, mecanismos o normativas para la destrucción de dichos datos. Manifiestan diversas razones para no hacerlo. Sin embargo, se deben establecer criterios dependiendo de la naturaleza de las bases de datos.

  • Existen dudas sobre la aplicación de principios de notificación, especificación de finalidad y limitación en el uso. Es decir, no se sabe si se notifica debidamente a las personas cuando sus datos personales son almacenados por principio de protección, y al no existir normativas específicas sobre manejo de datos personales, se desconoce si los datos son utilizados solamente para los fines por los que son recolectados.

  • Sobre el acceso y transferencia de los datos, se puede identificar la aplicación de buenas prácticas. La mayoría de los entrevistados admiten contar con estrictas políticas de acceso a datos, con roles establecidos y en algunos casos, con registro de los accesos.

Hacia una nueva Ley de protección de datos personales en Paraguay

La investigación identifica que Paraguay tiene varias normativas que abarcan de forma dispersa el tratamiento de datos personales: recolección, uso y autoridad de aplicación para cada caso. Sin embargo, se vuelve necesaria y urgente una Ley con un enfoque integral para evitar los posibles abusos que se realizan con los datos personales tanto en el sector público como el privado.

Esta Ley debe limitar el tratamiento de los datos personales en lo que respecta a la recolección, tiempo de almacenamiento, proporcionalidad, calidad del dato, ámbito de aplicación, transparencia, rendición de cuentas y otros principios establecidos por los estándares más altos de protección de datos personales con perspectiva de derechos humanos. También, la futura Ley de protección de datos personales deberá contemplar los avances tecnológicos: datos biométricos, algoritmos, big data, transferencias internacionales de datos, entre otros.

A partir de estas conclusiones, se sugiere crear un órgano independiente como ente rector y responsable del control del tratamiento de datos, para analizar la finalidad del tratamiento y hacer las revisiones preventivas ante posibles errores o abusos que se dan en el manejo de datos. Se agrega que es necesario auditar a los responsables de tratamientos de datos y elevar los estándares de protección, acorde a la Directiva de la UE 95/46 y sus reglamentaciones.

Por último, se enfatiza que la Ley no debe crear obstáculos a los avances de la ley 5282/14 de acceso a la información pública. La misma debe contener dispositivos legales que aseguren el acceso a los datos personales cuando el interés público fuera mayor que la necesidad de sigilo, como la divulgación de salarios de los servidores públicos y otros casos.

Podes leer la investigación haciendo click aquí: La protección de datos personales en bases de datos públicas en Paraguay.