El 25 de agosto fue publicada en la Gaceta Oficial de Cuba la nueva Ley de Protección de Datos Personales que entrará en vigor a finales de febrero de 2023, luego de que fuese aprobada por la Asamblea Nacional del Poder Popular.
El texto reconoce algunos derechos, principios y garantías hasta el momento desconocidos en el ordenamiento jurídico de la Isla. Sin embargo, es ambiguo e incluye elementos que conceden a las autoridades un uso injustificado de la facultad discrecional.
Además, la redacción del texto no menciona los elementos sobre la protección de los datos personales en el mismo orden en que los recoge el derecho internacional: ARCO (siglas para Acceso, Rectificación, Cancelación y Oposición). Esto complica la comprensión y ejecución de la norma.
A continuación, un repaso de algunos puntos que se esconden en la nueva legislación que regulará el uso de la información personal que conste en registros y bases de datos de carácter público y privado.
Límites poco claros
Según Giselle Morfi Cruz, abogada de la organización sin fines de lucro Cubalex, los límites a la seguridad de los datos personales se encuentran definidos en la Ley de forma ambigua mediante el uso de frases como: “seguridad colectiva”, “bienestar general”, “interés de la defensa” y “cualquier otra (situación) que de manera significativa así lo amerite”.
“Se trata de un saco normativo grandísimo donde cabe todo; donde, literalmente, cualquier cosa puede ser una excepción para que la autoridad niegue un derecho fundamental”, comentó la experta al medio YucaByte.
Esta situación permite que, tanto el uso de los datos personales, como su recopilación por parte de organismos estatales, queden sujetos a la discreción de las entidades que menciona la Ley, las cuales podrían considerar que son de interés público.
Además, la norma establece (Artículo 8.1) que la protección de los datos personales se rige por lo establecido en la Constitución cubana, en la propia Ley y en “las demás disposiciones normativas dictadas al efecto por los órganos competentes”.
Esto incluye una serie de herramientas legales que han sido objeto de denuncias porque garantizan al Estado la posibilidad de vigilar a sus ciudadanos. Algunos ejemplos:
-
El Decreto Ley 370/2018 permite revelar datos personales en soporte electrónico a terceros “que posean interés legítimo debidamente acreditado ante autoridad competente”.
-
El Decreto Ley 30/2018 del Consejo de Estado regula todo lo concerniente a los “servicios postales” y los datos de personas naturales y jurídicas que se almacenan en los centros destinados a ello.
-
La Resolución 484 del 2020 del Ministerio de Justicia, creadora de la Ficha Única del Ciudadano, tiene como objeto, entre otros, “la captación de los datos de identidad de las personas naturales desde una fuente única”.
-
El Decreto Ley 35/2021 del Consejo de Estado establece como obligatorio que las personas naturales y jurídicas que sean objeto de inspección en la esfera de las telecomunicaciones faciliten a los funcionarios el acceso a los documentos que les sean solicitados y a las actividades que realizan.
-
La Ley No.5 de Procedimiento Penal valida la utilización de “técnicas especiales de investigación”, como la vigilancia electrónica, y su empleo por organismos de inteligencia.
Otra de las causas por las cuales la Ley de Protección de Datos Personales establece que se puede negar el ejercicio de los derechos es que la autoridad a la que se le reclame, por ejemplo la modificación de información, alegue que esta no consta en su base de datos.
"La Ley no impone límites a los juristas para realizar estas prohibiciones"
Además, un Tribunal también puede negar el ejercicio de estos derechos. La Ley no impone límites a los juristas para realizar estas prohibiciones.
¿Cómo es el procedimiento para reclamar un derecho ARCO según esta Ley?
La nueva Ley establece que, tanto el titular de los datos personales como su representante legal, pueden solicitar acceso, no divulgación, rectificación, cancelación o actualización sobre la información que les concierne, sin la necesidad de sujetarse a un determinado orden de prelación.
Quiere decir que el reclamante no tiene que solicitar el ejercicio de uno de los derechos ARCO antes de poder reclamar otros. Por ejemplo, es posible exigir la cancelación o modificación de los datos personales que se encuentren en una base de datos pública (sin la justificación adecuada) incluso antes de acceder a ellos.
Entonces, el procedimiento para reclamar sería solicitar a la persona encargada del tratamiento de los datos la acción requerida sobre su información personal. Para esto, deberán adjuntarse documentos probatorios (si fuera necesario) que acrediten la petición, los cuales deberán presumirse como verdaderos.
Hasta cinco días hábiles es el plazo con que cuenta la autoridad, primeramente, para acceder a la petición del titular de los datos (Artículo 25). Según Morfi Cruz este plazo es excesivo, considerando que, con dos días hábiles es suficiente.
La cantidad de tiempo puede extenderse hasta 10 días hábiles después de formulada la petición, según señala el acápite 2 del mismo artículo, en caso “de resultar procedente la solicitud”, lo que va en detrimento de la persona.
No obstante, este plazo puede volver a prolongarse, por igual cantidad de tiempo, según la Ley, “cuando así lo justifiquen las circunstancias del caso”. Así lo explica Giselle Morfi Cruz:
“Así, la autoridad es quien decide, de forma muy discrecional si aplazar más o no su actuar (…) Procesos como este, de acuerdo a los principios de celeridad y sencillez, sí deben ser sumarios y rápidos, porque hablamos de información que, una vez divulgada, vulnera derechos imprescindibles de la persona afectada. Este daño suele ser irreparable”.
Si luego de pasados los 20 días hábiles la autoridad finalmente no accedió a la petición sobre los datos personales del titular, este podrá reclamar la acción ante un tribunal. El tribunal podrá conceder la audiencia dentro del plazo de 10 días hábiles posteriores a la fecha de presentación de la reclamación.
La sentencia del tribunal deberá ser emitida dentro de cinco días hábiles. Este plazo, según el Artículo 33 de la propia Ley, “en casos excepcionales puede prorrogarse por igual plazo”. Luego del dictamen de la autoridad judicial, el plazo para el cumplimiento de lo dispuesto es de hasta 15 días hábiles, computados a partir de la notificación.
Tomando como referencia el peor de los escenarios, el titular de los datos podría tener que esperar hasta 45 días laborables hasta que se ejecute su solicitud legítima de operar sobre un dato que conste en registros o bases de datos.
Otras denuncias
Una de las principales polémicas respecto a las incorporaciones de la nueva Ley es la referente al almacenamiento y posible transferencia de los datos médicos. Estos han sido recopilados hasta el momento sin regulación alguna.
El apartado 1 del Artículo 63 enuncia que “se autoriza la transferencia de datos personales, dentro del territorio nacional, a solicitud de los responsables o encargados de tratamiento de datos” en el siguiente caso:
“Intercambio de carácter médico, sanitario o investigativo cuando sea requerido para tratamiento del titular, o por interés colectivo”.
Este tipo de datos han sido difundidos con anterioridad por la televisión estatal con la intención de desacreditar a activistas opositores al gobierno.
Por otra parte, el Artículo 49 explica cómo deben ser recogidos los datos en video, audios o formatos similares, en espacios públicos: “en ningún caso pueden ocasionar una lesión a los derechos y garantías reconocidos en la Constitución y la presente Ley”.
“Esto se viola con las cámaras de videovigilancia que se colocan frente a viviendas de activistas, porque dañan incluso a terceros”, aseguró Morfi Cruz.
“Aplicar este método de vigilancia, según el anteproyecto, está permitido si el fin es legítimo y no pueden emplearse otros medios. Sin embargo, lo correcto sería que se hiciese exclusivamente a partir de una orden judicial que justifique muy bien el empleo de esta técnica, siempre de acuerdo con principios jurídicos”, agregó.
Regresar al inicio