La Agenda Digital 2030 de la República Dominicana es una carta de ruta que define hacia dónde se encuentra guiado el país en materia de adopción de tecnología, con un enfoque primordial en mejorar la eficiencia y transparencia de la Administración Pública a través del uso y adopción de tecnologías digitales. En consonancia con estos objetivos, la Agenda Digital contempla varias reformas destinadas a fortalecer la protección de los datos de los ciudadanos, reconocida como un área de mejora. En un mundo donde el Internet se ha consolidado como el principal medio de comercio, la salvaguardia de la privacidad de los datos del consumidor y la protección de la información personal en todas las transacciones merecen una especial atención.
Encontrándonos en una era donde los servicios de la sociedad de la información[1], ejercen una influencia significativa y el comercio electrónico presenta un crecimiento exponencial, es imprescindible adaptar nuestras leyes en miras de brindar seguridad jurídica a los ciudadanos en las transacciones donde sus datos personales están en juego. Un dato personal es definido como toda información que identifique o haga identificable a una persona física. Por “identificable” nos referimos a la capacidad, incluso con un mínimo estado de la técnica, de descubrir la identidad de la persona.
La Constitución de la República Dominicana reconoce como derecho fundamental de los ciudadanos el Derecho a la Intimidad y el Honor Personal, indicando que “toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. […]”.
La finalidad del derecho fundamental a la protección de datos, es evitar el uso desviado e ilegítimo de la información, servir como un medio de control tanto externo como interno—externo, tratándose de poder controlar qué sucede con nuestra información durante los tratamientos, e interno, tratándose de las obligaciones que tienen los responsables del tratamiento—así como tener conocimiento sobre sus datos, el origen y el uso para el cual serán destinados. Este control se logra al dotar a las personas físicas de los medios necesarios para gestionar y disponer de sus datos de carácter personal de manera efectiva.
En ese orden de ideas, la Ley núm. 172-13 de la República Dominicana, tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados. Está destinada a proteger, en especial, los datos que se encuentran en registros públicos, bancos de datos, entre otros, garantizar que no se lesione el derecho al honor y a la intimidad de las personas, así como facilitar el acceso a la información que sobre las mismas se registre, en virtud de las disposiciones contenidas en nuestra Carta Magna. Sin embargo, a pesar de estos esfuerzos, la antes aludida Ley no ofrece una protección integral de los datos personales de los ciudadanos ni regula de manera adecuada su tratamiento.
El Acuerdo de Asociación Económica (o EPA, por sus siglas en inglés), firmado en 2008 entre 15 Estados miembros de CARIFORO y la Unión Europea, ha marcado un hito en la apertura del mercado europeo a la República Dominicana en términos altamente favorables. Este Acuerdo contiene disposiciones destinadas a fomentar y proteger el intercambio comercial, incluyendo disposiciones relativas a la protección de datos. Sin embargo, nuestra normativa no cumple con los estos estándares. El Reglamento General sobre Protección de Datos Personales de la Unión Europea (RGPD), ha servido de referencia e influencia a nivel internacional para la adopción de medidas, estándares y protección a los ciudadanos en esta materia. En respuesta a esta brecha, han sido presentados distintos proyectos de ley con el objetivo de modificar la Ley núm. 172-13, buscando actualizarla y alinearla con los requisitos internacionales, así como con los objetivos establecidos en la Agenda Digital. Sin embargo, aún quedan disposiciones por contemplar y perfeccionar.
Por ejemplo, a nivel internacional, ha surgido un nuevo cargo, necesario sobre todo en las entidades públicas y privadas que traten datos a gran escala, denominado el delegado de protección de datos. Este rinde cuentas al más alto nivel, actúa de forma autónoma y asume funciones de asesoramiento, supervisión y colaboración con las autoridades. Esto aún no ha sido contemplado en la reforma de nuestra Ley. Además, ciertos datos son especialmente protegidos y su tratamiento está prohibido, como son aquellos datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, afiliación sindical e información relativa a la salud o la vida sexual. Sin embargo, la Ley núm. 172-13 no contempla los datos genéticos y biométricos como categorías especialmente protegidas hasta la fecha.
La Ley núm. 172-13 y sus propuestas de reformas carecen de disposiciones referentes a los datos anónimos y seudonimizados, resultando de gran importancia que sean abordados. Los datos anónimos, al no poder ser vinculados con una persona física, se encuentran excluidos del ámbito de protección de la Ley. Por otro lado, los datos seudonimizados se utilizan como una técnica de protección de datos, al promover la reducción de riesgos asociados y apoyar a los responsables y encargados del tratamiento a cumplir con ciertas obligaciones. Además, es imperativo revisar las disposiciones relacionadas con la legitimidad del tratamiento de datos. El consentimiento no es ni la principal base de legitimación ni la única para poder tratar los datos de los interesados. A modo de referencia, el RGPD esboza como condiciones para la licitud del tratamiento (i) el consentimiento del interesado para fines específicos, (ii) cuando sea necesario para la ejecución de un contrato en el que el interesado es parte, (iii) cuando sea necesario para el cumplimiento de una obligación legal, (iv) cuando sea necesario para proteger intereses vitales del interesado o de otra persona física, (v) cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, y (vi) cuando sea necesario para la satisfacción de intereses legítimos por el responsable del tratamiento o un tercero.
En resumen, la República Dominicana se encuentra en un momento crucial de su desarrollo digital, con la Agenda Digital 2030 delineando un camino hacia la modernización y adopción de tecnologías digitales. Este proceso deberá ir de la mano con una sólida protección de los datos personales de los ciudadanos, especialmente en un contexto donde el comercio electrónico y la sociedad de la información son pilares fundamentales de la economía e interacción social. La necesidad de una legislación robusta en materia de protección de datos se hace evidente, tanto para cumplir con los estándares internacionales como para salvaguardar el derecho fundamental de intimidad y honor de los ciudadanos. La reforma de la Ley núm. 172-13 es un paso necesario. Solo a través de una legislación integral y actualizada en materia de protección de datos, podrá la República Dominicana consolidar su posición como un actor relevante en la economía digital global y garantizar la confianza de los ciudadanos en el uso de las tecnologías digitales.
[1] Todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. Comprende, también, los servicios no remunerados por sus destinatarios en la medida que constituyan una actividad económica para el prestador de servicios.