Del 25 al 28 de septiembre de 2007, Canadá fue el anfitrión de la 29^aConferencia Internacional de los Comisarios de protección de los datos y de la vida privada. A la Conferencia, que tuve el honor de presidir en su día, le pusimos por lema Terra Incognita, ya que muchos de nosotros nos percatamos de la apremiante necesidad de plantear la temática de forma pedagógica. Durante la primera Conferencia de los autoridades de protección de datos de la Francofonía que también se desarrolló por esas fechas, concretamente el 24 de septiembre 2007 en Montreal, bajo la presidencia del letrado Jacques Saint-Laurent, Presidente de la Comisión de Acceso a la Información de Quebec, nos percibimos asimismo que el espacio creado por la Asociación Francófona de Autoridades encargadas de la Protección de datos personales (AFAPDP) para poder compartir la información en un clima de cooperación resultaría una rampa de lanzamiento idónea para dar a conocer el pluralismo y la diversidad de los modelos institucionales canadienses.

Contribuir de forma positiva a este enfoque pedagógico institucional es precisamente el objetivo de la tarea emprendida por el Sr. Paul-André Comeau, autor del presente informe, todo ello gracias al financiamiento y al apoyo de la Comisión de Acceso a la Información de Quebec, de la Oficina del Defensor del Pueblo de Nuevo Brunswick y de la Comisaría de Protección de Datos Personales de Canadá.

Esperamos que la lectura de este documento despierte en el lector algunas ideas o confirme las que ya tiene, sobre todo en lo que se refiere a la necesidad de dar muestras del dinamismo institucional en un área que se encuentra en plena evolución a la vez que recordar la multiplicidad de modelos eficaces que se pueden seguir para proteger el derecho a la privacidad.

Es nuestro deseo que este informe sirva para entablar un diálogo entre todos los actores que concretan las formas que debe adquirir la protección de los datos personales en el contexto de la globalización, de la tecnología de la información y del nuevo panorama que se ofrece en el ámbito de la seguridad, la salud y la justicia social.

Jennifer Stoddart

Mensaje del Sr. Jacques Saint-Laurent, Presidente de la Comisión de Acceso a la Información de Quebec

La globalización de las tecnologías de la información es un factor esencial y un verdadero motor de arranque para el progreso económico. Tan ensimismados estamos con las tecnologías de la información y la manera en que hacen esfumarse las fronteras del espacio y del tiempo, que a veces olvidamos que estas mismas tecnologías también pueden dañar nuestros valores democráticos más arraigados.

Por obra y arte de la globalización de los intercambios de información, el espacio nacional ya no se basta para controlar la protección de los datos personales y de la vida privada. Por ende, resulta deseable, por no decir imperativo, que se instituyan un mayor número de autoridades independientes encargadas de velar por la observación y aplicación de las leyes pertinentes de cada país. La adopción de una ley y la instauración de una autoridad independiente encargada del control se han convertido así pues en los elementos constitutivos del derecho a la protección de los datos en una sociedad democrática.

Cuando una sociedad se plantea el desarrollo de una normativa para la protección de la vida privada y de la información personal, lo más lógico es estudiar las decisiones tomadas por países que ya han adoptado sistemas o regímenes jurídicos de esta índole.

Para los países miembros de la Francofonía que buscan responder positivamente a las exigencias de la democracia adoptando leyes sobre la protección de la vida privada y de los datos personales, presentamos sin pretensión alguna un texto de análisis y de referencia que describe las leyes vigentes en el Canadá de habla francesa.

Esta es la tela de fondo en la que se sitúa el documento del Sr. Paul-André Comeau. Su objetivo es contribuir al planteamiento y búsqueda de soluciones que tengan en cuenta las características, históricas e institucionales, del patrimonio cultural de una sociedad que se ve en la necesidad de garantizar la protección de la información personal de sus ciudadanos.

La publicación de este documento coincide con el primer aniversario de la Asociación Francófona de Autoridades encargadas de la Protección de datos personales (AFAPDP) además de dar seguimiento a la segunda Conferencia Francófona de las Autoridades encargadas de la Protección de Datos que se celebró en Estrasburgo el 17 de octubre de 2008.

Al haber transcurrido apenas un año desde la presentación de su informe sobre las autoridades de control, los datos personales y la Francofonía, redactado por encargo de la Comisaría de Protección de Datos Personales de Canadá, el Sr. Paul-André Comeau regresa con un nuevo estudio que, como en el caso del anterior informe, revestirá gran utilidad para la comunidad de habla francesa por su análisis perspicaz, como también por su avezado enfoque de un área en el que los cambios se dan prácticamente a diario.

Deseamos que los autoridades políticas, los representantes de la sociedad civil y los ciudadanos de los países y gobiernos miembros de la Francofonía que buscan respuestas al conjunto de los temas relacionados con la protección de la vida privada y de los datos personales, saquen el mayor partido posible de este documento.

Por último, quisiera expresar mi más sincero agradecimiento al Sr. Paul-André Comeau y a sus colaboradores por la realización de este trabajo.

Jacques Saint-Laurent
Quebec, 26 de febrero de 2009

Mensaje del Sr. Bernard Richard, Defensor del Pueblo, Oficina del Defensor del Pueblo de Nuevo Brunswick

Desde el Congreso de Bamako, la Francofonía se está convirtiendo en un espacio privilegiado para el desarrollo democrático. En esta era digital en que vivimos, opinamos que es más importante que nunca que el imperio de la ley se apoye en bases bien asentadas en lo que se refiere al respeto del derecho a la privacidad y el derecho a la información. De ahí que la Oficina del Defensor del Pueblo de Nuevo Brunswick no dudara en apoyar el proyecto de la Asociación Francófona de Autoridades encargadas de la Protección de datos personales (AFAPDP). Desde la Declaración de Mónaco, hemos podido asistir a la conferencia inaugural en Montreal y a los eventos subsiguientes. Merced a la iniciativa de la AFAPDP, los países de habla francesa podrán seguir siendo pioneros en este emergente sector del derecho que tan íntimamente se encuentra ligado a su desarrollo económico, social y democrático.

Me complace poder compartir con ustedes, mis colegas canadienses, tres modelos institucionales que aún siendo muy diferentes, resultan compatibles además de su comprobada utilidad para la promoción y defensa de la vida privada de los canadienses. Confío en que todos aquellos que en los países de habla francesa y en otros buscan el progreso de las leyes nacionales en estos sectores puedan sacar provecho del informe y análisis del Sr. Paul-André Comeau.

La normativa en la materia sigue evolucionando en Nuevo Brunswick y las tendencias más recientes vienen a confirmar que el derecho a la información y la protección de los datos personales son prácticamente indisociables a la vez que constituyen garantías esenciales contra la impunidad y los abusos de poder.

Todos saldremos ganando si aprendemos los unos de los otros y compartimos nuestros logros y experiencias, máxime en esta era en que la tecnología avanza a un ritmo que sobrepasa nuestras capacidades institucionales individuales, por pequeñas o grandes que sean. Guiados por este ánimo de cooperación, presentamos este trabajo esperando que ayude a reforzar nuestros lazos institucionales existentes y a forjar nuevas relaciones.

Bernard Richard
Defensor del Pueblo

Tres Problemas, Tres Fallos

Un sinfín de expedientes inconsultables se han ido acumulando a lo largo de los años en los archivos de la Real Policía Montada de Canadá, donde no tienen ni oficio ni beneficio. El nombre de un ciudadano puede figurar en unos de estos archivos tachados de “alto secreto” a raíz de un error, de una sospecha o de un fallo administrativo. Esta es la alarmante conclusión de la Comisaria de Protección de Datos Personales de Canadá tras una inspección de estos ficheros a los que los ciudadanos canadienses no tienen acceso, pese a contener sus datos personales. Dicha inspección se llevó a cabo por los servicios de la Comisaria en el otoño de 2007 y el invierno de 2008. Estos ficheros no se pueden consultar porque supuestamente contienen datos que atañen a la criminalidad y a la seguridad nacional.

En los días que siguieron la presentación de dicho informe ante la Cámara de los Comunes, la Real Policía Montada hizo saber públicamente que tenía intención de cumplir con todas las recomendaciones de la Comisaria. A raíz de ello, la Comisaria anunció el retiro inmediato de todos los expedientes de este archivo secreto que se habían creado tras los acontecimientos del 11 de septiembre 2001 y que ya no respondían a los criterios de seguridad nacional.

Los datos personales de más de 485 residentes de Nuevo Brunswick y de unos 149 residentes de Colombia Británica se perdieron durante el otoño de 2007. Entre ellos figuran el nombre, el sexo, la fecha de nacimiento y el número de seguridad social de estas personas, es decir precisamente lo que hace falta para poder robar o usurpar su identidad, siendo éste uno de los mayores problemas en este principio de siglo. El Comisario de Acceso a la Información y de Protección de los Datos Personales de Colombia Británica y el Defensor del Pueblo de Nuevo Brunswick estudiaron por sendas partes la desaparición de estos datos que debían de haber sido encaminados a Vancouver y a Fredericton, respectivamente. Los datos, que habían sido recopilados por el Ministerio de Salud de Nuevo Brunswick, se salvaron en cintas informáticas, siguiendo una costumbre que nunca se había puesto en entredicho. La investigación llevada a cabo por el Defensor del Pueblo de Nuevo Brunswick reveló que no se habían tomado ni las más elementales precauciones de seguridad¹. Por ende, los datos no habían sido sometidos a ningún tipo de cifrado o codificación. A raíz de este incidente, el Ministerio tuvo que avisar a todos los interesados y poner a punto un sistema de intervención urgente en caso de robo de identidad para tratar de conseguir un crédito o cometer otros actos ilícitos.

Un hombre en trámites de divorcio solicita una copia integral de su expediente personal y del expediente del hijo del que sigue teniendo la custodia. Presenta su solicitud ante una empresa del sector privado que ejerce poderes públicos que le han sido conferidos para organizar y vigilar el ejercicio del derecho de visita de los padres a su hijo menor de edad. Ante la negativa de la empresa de acceder a su petición, el padre de familia decide someter el caso a la Comisión de Acceso a la Información de Quebec. El demandante y los representantes de la empresa hacen valer sus respectivos y contradictorios puntos de vista ante una audiencia presidida por la Comisaria de turno. Tras una lectura de los documentos en litigio, la Comisaria decide que los datos que figuran en los expedientes corresponden efectivamente al padre y al hijo. Por ende y entendiendo que se trata de datos personales a los que, de acuerdo con la ley, el padre puede tener acceso en su calidad de titular de la patria potestad, la Comisión dictamina la entrega de dichos documentos al solicitante².

Introducción

Cabe proponer medidas de control para impulsar la creación de organismos de control que puedan asegurar el respeto a los principios y disposiciones en esta área? Estos tipos de preguntas surgen inevitablemente cuando determinados entes de la sociedad deciden plantearse el establecimiento de un régimen normativo para la protección de la información personal. El movimiento puede surgir de la sociedad civil, provenir del entorno político o administrativo, o incluso resultar de una instancia internacional, como en el caso de los países de Europa Oriental al emprenderse las negociaciones de cara a su adhesión a la Unión Europea.

En lugar de proponer un enfoque teórico, cuya utilidad no ponemos en duda, el presente documento pretende sacar partido del recorrido práctico que han seguido los socios fundadores de la Asociación Francófona de Autoridades encargadas de la Protección de datos personales (AFAPDP) que son los gobiernos de Canadá, Quebec y Nuevo Brunswick. No se trata aquí de relatar uno a uno los pasos históricos seguidos por estas tres entidades para instituir, asesorar y controlar este nuevo tipo de derecho, sino de examinar brevemente las decisiones y los mecanismos concebidos por los tres Parlamentos para concretar la estructura que debía adquirir la protección de la información personal. El objetivo consiste en contribuir al planteamiento y a la búsqueda de soluciones que tengan en cuenta las características, históricas e institucionales, del patrimonio cultural de una sociedad que se ve en la necesidad de garantizar la protección de la información personal de sus ciudadanos.

El informe seguirá un método relativamente simple, que partirá de un breve repaso cronológico de estos tres sistemas jurídicos de protección de datos personales. Se impone ante todo un examen de las circunstancias y de los motivos que imperaron a la hora de adoptar un régimen normativo, lo cual nos dará una idea del papel que desempeñaron los diversos actores y las influencias exteriores, de haberse dado tales influencias.

Examinaremos asimismo la creación e implantación de lo que hoy día se han dado en llamar “organismos (o autoridades) de control”, enfocando nuestro recorrido desde un punto de vista comparativo que no dejará de tener en cuenta el patrimonio institucional y la tradición jurídica que defienden estos organismos para poder apreciar mejor la naturaleza y los poderes de los mismos.

Cómo reaccionan estos sistemas de protección de datos personales ante las interrogantes de la actualidad que son fruto de los efectos de la globalización, del asombroso impacto de las nuevas tecnologías de la información y de la tremenda onda de choque propagada por los acontecimientos del 11 de septiembre de 2001 en los EE.UU.?

Cómo ubicarse en esta borrosa e incierta dinámica? Cómo imaginar soluciones y adaptaciones que garanticen su necesaria perennidad al objetivo inicial en las sociedades que ya disponen de tales regímenes o sistemas normativos? Cómo pueden los estados a los que se pide o se conmina a seguir la misma vía empezar a plantearse la situación? ¿Cómo pueden los modelos canadienses ayudar a alumbrarles el camino? Estas preguntas incumben al conjunto de las sociedades que se preocupan por garantizar a sus ciudadanos el respeto hacia todo aquello que atañe en lo más mínimo a la individualidad de la persona. Si la meta es ambiciosa, el planteamiento seguido es más modesto ya que se basa primordialmente en un estudio de las decisiones tomadas y de los pasos seguidos por Canadá, Quebec y Nuevo Brunswick.

El presente informe busca proponer posibles vías para la búsqueda de soluciones y sugerir las condiciones que se tienen que dar para poder pensar en mecanismos legislativos e institucionales que garanticen la protección de la información personal.

El autor desea expresar su más sincero agradecimiento al letrado Maxime Laverdière y a la Srta. Marie-Pierre Busson por su inestimable colaboración.

1. Circunstancias y proyectos

Contrariamente a la pauta seguida en los países de Europa Occidental, la protección de datos personales se impuso en Canadá en dos tiempos. Al principio, es decir en los años 1970, los partidarios de la iniciativa se centraron exclusivamente en el sector público. El movimiento se impuso dentro del mecanismo gubernamental en Canadá y Quebec más o menos simultáneamente, al igual que las leyes que resultaron de esta primera iniciativa. Tuvieron que pasar unos veinte años antes de que el planteamiento se girara hacia el sector privado para instituir sus correspondientes medidas legislativas.

El recorrido se hizo a la par que el de los intentos de adoptar sistemas de acceso a la información o, mejor dicho, de acceso a los documentos en poder de la administración pública³. Ambos conceptos están íntimamente ligados, al menos en lo que refiere a los trabajos y a las medidas concretas, y esto pese al hecho de que parezcan a priori responder a objetivos contradictorios, ya que la necesidad de transparencia implica de por sí una incompatibilidad entre el acceso a la información y la protección de los datos personales. Por otra parte, se conoce que los gobiernos interesados han ido imitando sus respectivos ejemplos en este ámbito.

1.1 El sector público

No cabe duda que la informatización del mecanismo gubernamental daría lugar a ciertas preocupaciones en lo referente a la protección de la información personal o, de manera más amplia, en lo referente al respeto de la intimidad o vida privada.La informática y su infinidad de posibilidades, que apenas empezaban a vislumbrarse, fueron objeto de preocupación de un lado y otro del Atlántico, al menos en algunos países como son los EE.UU., Suecia y Alemania.

Dos organizaciones internacionales, con sede en París y Estrasburgo, respectivamente, lanzaron hacia finales de los años 1970 sus propias iniciativas en este ámbito. El Consejo de Europa formuló y sometió a ratificación el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal⁴. Conocido bajo el nombre de Convenio 108, este tratado contiene disposiciones vinculantes. Por su lado, la OCDE redactó y publicó en 1980 sus Directrices sobre la protección de la intimidad y los flujos transfronterizos de datos de carácter personal⁵ a título únicamente indicativo. Ambos instrumentos trazaron el camino para las primeras gestiones llevadas a cabo por los gobiernos de Canadá, Quebec y Nuevo Brunswick.

Pero la pauta a seguir ya venía marcada desde 1973 a raíz de la publicación de un estudio encargado por el gobierno federal de Canadá: El ordenador y la vida privada⁶. Durante algunos años, los trabajos y los primeros proyectos concretos se desarrollaron sin salirse de la esfera gubernamental. Naturalmente, los funcionarios encargados del tema permanecían al acecho de lo que se hacía en el extranjero, comenzando por los EE.UU. que, en 1974, acuñaron una ley para la protección de la información personal.

Algunos diputados y antiguos ministros tomarían el relevo y, pese a sus tímidos intentos del comienzo, lograrían plasmar el objetivo de una forma de protección en 1977, bajo la Ley canadiense sobre los derechos de la persona⁷. La Ley de protección de los datos personales⁸ vigente hoy día se aprobó en 1982. Por tanto, el Parlamento federal adoptó dos leyes sucesivas para dictaminar las medidas y disposiciones relativas al sector público.

En Quebec, la trayectoria fue parecida a no ser por el hecho de que la iniciativa nació de los propios dirigentes políticos. El ministro encargado de la reforma de las instituciones fue quién lanzó la propuesta de adoptar una Ley de acceso a la información en Quebec. La influencia más directa ejercida sobre este tema procedía de California. El Primer Ministro René Lévesque, profundamente marcado por el asunto de Watergate que había redundado en la dimisión del Presidente Nixon en los EE.UU., acabaría tomando las riendas de la iniciativa. Aparte de algunas reivindicaciones por parte de la Federación profesional de periodistas de Quebec, que acababa de crearse, la iniciativa partió exclusivamente de la clase política.

Para llevar el proyecto a cabo, el gobierno asignó a un grupo de trabajo, presidido por un renombrado periodista, la tarea de estudiar la cuestión del acceso a la información. De hecho, el cometido era por doble partida ya que al grupo también se le encomendó analizar el problema de la protección de los datos personales. Esta decisión se tomó por así decir con el ánimo de emular la adopción por parte del Parlamento federal de la ley de 1977⁹ que había sentado las bases del régimen normativo de protección de la información personal.

El grupo de trabajo, creado en 1980, saldría más que airoso de sus pesquisas. Tras ocho meses de intensa labor, presentó un informe completo en el que recomendaba la adopción de una ley que regiría ambos aspectos a la vez, es decir el acceso a la información y la protección de los datos personales. En lo que no dejó de ser una sorprendente iniciativa, el grupo incluyó además en su informe un anteproyecto de ley. La Asamblea Nacional tardaría unos meses en estudiar y adoptar, en 1982, la Ley de acceso a los documentos de los organismos públicos y la protección de datos personales¹⁰. Quebec se convertía así en la cuarta provincia canadiense en haber legislado en el ámbito del acceso a la información (después de Nueva Escocia, Nuevo Brunswick y Terranova), pero la primera en hacerlo con respecto a la protección de los datos de carácter personal, y todo ello dentro de una misma ley. Varios gobiernos terminarían imitando el modelo legislativo quebequés.

1.2 El sector privado

También se debe a Quebec el haber lanzado, a principios de los años 1990, el movimiento a favor de la expansión de la Ley de protección de los datos personales al sector privado. Una combinación de factores internos y acontecimientos en la arena internacional hicieron que Quebec estableciera un precedente en América del Norte.

Acabada en 1994, la nueva versión del Código Civil, que distingue a Quebec de los demás estados federados de Canadá, fue el factor desencadenante del movimiento. En su nuevo enunciado, el Código Civil garantiza a todos el respeto a su intimidad y a sus datos personales¹¹. En realidad, venía a concretar los principios ya consagrados en la Carta de Derechos y Libertades¹², aprobada en 1975. Dentro del gobierno, no tardó en imponerse un movimiento a favor de redactar una ley que estructurara la protección de la información personal en el sector privado.

Mientras tanto, la Unión Europea, dedicada a la creación del mercado único, puso por su parte en marcha un proyecto que daría lugar a la adopción de una directiva encaminada a estandarizar la protección de información personal en los diversos Estados miembros¹³. El trabajo realizado en Bruselas no tardó en llamar la atención de Quebec, sobre todo porque la directiva propuesta incluía un componente externo: el intercambio de información personal desde y hacia países externos a la Unión Europea estaría sujeto a una serie de condiciones para mantener un nivel de protección equiparable al proporcionado por los países miembros. En un momento en que la globalización se estaba imponiendo, no se podía pasar por alto tan importante contraseña.

Al amparo de los procedimientos parlamentarios en los que intervinieron y dieron a valer su punto de vista numerosos representantes del sector privado y de la sociedad civil, la Asamblea Nacional puso a punto lo que se convertiría en 1993 en la primerísima ley concebida en Norteamérica para regular la protección de la información personal en el sector privado¹⁴.

En el ámbito federal, los trabajos iniciados en la Unión Europea tampoco pasaron desapercibidos, ni mucho menos. Del mismo modo, el precedente establecido por Quebec dio lugar a una serie de interrogantes que desembocarían en iniciativas que serían otras tantas primicias. Los planteamientos se desarrollaban en medio de esfuerzos casi desesperados por cumplir con las promesas y lidiar con los desafíos de la posible creación de lo que en su día se llamó la "superautopista de la información" - un término que resume una de las dimensiones fundamentales de la implantación de las nuevas tecnologías de la información y la comunicación (TIC).

El gobierno federal tuvo que considerar enfoques contradictorios en lo que se refería a la suerte de los datos personales en el ciberespacio. La sociedad civil y algunas autoridades de control ubicadas en Estados federados favorecían la adopción de una ley digna de llamarse como tal. Por el contrario, el sector privado y sobre todo, el mundo de los negocios, apuntaba hacia la autorregulación, designando a la Asociación Canadiense de Normalización (CSA por sus siglas en inglés) como piloto de este enfoque.

En sendos frentes, se iniciaría una verdadera carrera para desarrollar un proyecto concreto que pudiera redundar en un consenso. El gobierno comenzó a trabajar en el desarrollo de la legislación, mientras que el sector privado iba redactando un código de normas merced a la intensa labor de la CSA.

¿Autorregulación o control legislativo? El gobierno federal acabó inclinándose por un enfoque legislativo que incorpora los principios o las normas elaboradas y aceptadas por los miembros de la CSA. Tal es el origen de la Ley deProtección de la información personal y los documentos electrónicos¹⁵ que el Parlamento aprobó en el año 2000.

La promulgación de esta ley impulsaría a algunas provincias canadienses a tomar determinadas medidas. Al igual que Quebec, Alberta¹⁶ y Colombia Británica¹⁷ concebirían su propia ley para regular los avatares de la información personal en el conjunto del sector privado.

En Nuevo Brunswick, la Ley de protección de los datos personales iba significativamente marcada por estas mismas influencias procedentes del otro lado del Atlántico. Ya en 1978, la provincia había adoptado una Ley sobre el derecho a la información, con posibilidades de recurso, ya sea ante el Defensor del Pueblo o el Tribunal Superior. Fue sin embargo una de las últimas provincias en legislar sobre la protección de la información personal. En 1994, el gobierno creó un grupo de trabajo para profundizar el estudio del tema en su conjunto.

Los miembros de este grupo de trabajo tomaron buena nota de la entrada en vigor de la Ley de Quebec de 1993, llegando a la siguiente conclusión provisional: "Es importante", escribieron en su informe, "vigilar estas tendencias para garantizar que Nuevo Brunswick no se encuentre en desventaja competitiva en la economía de la información". En este sentido, el grupo recomendaba adoptar una ley para el sector público y optar por la autorregulación en el sector privado¹⁸.

En 1996, el Ministerio de Justicia publicó las grandes líneas de un proyecto de ley de protección de los datos personales, que suscribía a los principios de la OCDE. Aprobó asimismo las conclusiones de la Asociación Canadiense de Normalización (CSA) que acababa de poner a punto un código basado en diez principios.

Por último, en 1998, la Asamblea Legislativa aprobó una ley que atañe exclusivamente al sector público¹⁹. La nueva ley, sin embargo, no entraría en vigor hasta 2001, tras producirse un cambio de gobierno en Fredericton. En cuanto al espiritu y a la letra de dicha ley, guarda mayor parecido con la ley federal aplicable al sector privado que con cualquier otra normativa canadiense que rige al sector público. Resulta incluso más sucinta y se limita a adoptar las normas de la OCDE y de la CSA, dándoles carácter oficial, además de disponer la posibilidad de recurso ante el Defensor del Pueblo. No existe a priori ningún control del procesamiento de datos realizado por el sector público. Tampoco prevé un régimen de auditoría general. Lo que se buscaba era dar paso a un mecanismo flexible y fácilmente exportable al sector privado, por si este último no estaba dispuesto a seguir el camino trazado por el gobierno. Sin embargo, y ante la proclamación de la directiva europea, el gobierno federal acordó obrar de otro modo, incluso antes de promulgarse la ley. Esto explica que se aplique la ley federal canadiense al sector privado de Nuevo Brunswick.

Las primeras medidas legislativas, tanto las de Ottawa como las de Quebec, se inscribían en un marco cuasi-constitucional y buscaban asentar el derecho fundamental a la intimidad o vida privada. La coyuntura económica y el desarrollo de tecnologías de la información y de los mercados dieron lugar a la adopción de otras leyes aplicables a la vida privada especialmente adaptadas a la automatización de la información. En el gobierno federal, el expediente sigue a cargo del Ministro de Industria; en Nuevo Brunswick, toda la gestión y el seguimiento de la adopción del proyecto de ley siguen dependiendo de la Secretaría de la Autopista de la Información, que es una división del Ministerio de Desarrollo Económico. Esto explica en parte el método menos intervencionista que se adoptó a través de Canadá y la decisión de la legislatura de Nuevo Brunswick de abstenerse de legislar en relación con el sector privado. A no ser por la legislación federal, la provincia quizás hubiera tardado más en renunciar a las virtudes de la autorregulación.

En resumen, bajo el impulso de factores internos y acontecimientos en la escena internacional, Canadá, Quebec y Nuevo Brunswick siguieron un camino parecido, al menos en general.

La labor legislativa llevada a cabo en Canadá a favor de la protección de la información personal reconoce el valor que tiene dicha protección como derecho fundamental, asimilándola al derecho a la privacidad. El progreso de la informática influyó en gran medida en el devenir de este derecho.

El desarrollo de las leyes de protección de los datos personales quedó vinculado de cierta manera a las gestiones realizadas para establecer sistemas reguladores del acceso a la información.

A diferencia de lo que ocurrió en Europa, la protección de los datos personales se implantó en dos tiempos: primero en el sector público, y únicamente luego, en el privado.

2. LETRA Y ESPIRITU de las LEYES

No es sorprendente que los regímenes jurídicos de protección de la información personal establecidos en Ottawa, Quebec y Fredericton reflejen una trayectoria propia y específica a la vez que una tradición legislativa. A principios de los años 1980, es decir, cuando el Parlamento Federal de Canadá y la Asamblea Nacional de Quebec aprobaron las primeras leyes en este campo en Canadá, el planteamiento seguido se ajustó precisamente a este molde. Se carecía por así decir de modelos que sirvieran de referencia y la poca experiencia existente recién acababa de adquirirse, pero en otros países. Esto permitía un amplio margen de flexibilidad.

La revisión de las leyes que iniciaron estos tres sistemas políticos radicó inicialmente en una revisión de su arquitectura, tratándose este de un paso necesario para captar mejor el espíritu y el objeto de las leyes. En este capítulo que ahora abordamos, se impone una vez más la necesidad de respetar la cronología de los planteamientos legislativos, que empezaron por limitarse al sector público.

2.1 El sector público

En Quebec, el gobierno no tardó en adoptar la propuesta del grupo de trabajo establecido para allanar el terreno. Lo que se propuso a la Asamblea Nacional fue un proyecto de ley que
acoplaba la protección de los datos personales y el acceso a la información. La ley adoptada en 1982²⁰ marca de hecho un precedente al que más tarde se aludiría como el “modelo quebequés”.

La gran mayoría de las jurisdicciones en Canadá y algunos países europeos como Hungría, el Reino Unido y Suiza, seguirían el ejemplo de Quebec, unificando ambos sistemas, cuyos objetivos pueden parecer diferentes, por no decir contradictorios. Inicialmente, el legislador asienta la transparencia mediante el reconocimiento de un derecho de acceso a los documentos en poder de los diversos entes del sistema político, asegurando de un mismo plumazo que los datos personales gozarían de protección especial.

La coherencia de este planteamiento normativo reside en un doble objetivo: rodear los datos personales de garantías adecuadas y garantizar el acceso de los ciudadanos a la información que les concierne. Habida cuenta de esta particularidad, laLey de acceso a los documentos de los organismos públicos y de protección de datos personales reúne las cuestiones fundamentales que surgen cuando se establece un régimen jurídico de protección de los datos personales: ¿qué es lo que intentamos proteger? ¿Quién se ve afectado por este enfoque? ¿Cuáles son los métodos adoptados para lograr este objetivo? ¿Qué recursos se ponen en marcha para garantizar el cumplimiento de los principios y disposiciones de esta ley?

La información personal se puede definir de manera relativamente sencilla: se trata de cualquier dato o símbolo que permite identificar a una persona y distinguirla de cualquier otra²¹. Las características de esta persona, los símbolos o los identificadores, los datos sobre su salud, sus ideas y afiliaciones filosóficas o sus creencias religiosas, por nombrar únicamente los más evidentes, tienen cabida bajo esta noción genérica.

La ley abarca los diversos medios en que los datos pueden figurar: empezando por el formulario impreso de siempre hasta los ficheros electrónicos de la era de la virtualidad, por no hablar de películas, videos y demás derivados de la tecnología audiovisual. A esto se resume, en términos de lo más simple y sencillo, el objeto de las disposiciones y cláusulas que conforman la protección de los datos personales, en Quebec como en la mayoría de los países.

Este régimen jurídico goza de una situación única en la legislatura de Quebec por el hecho de tener precedencia sobre todas las demás disposiciones aprobadas por la Asamblea Nacional, salvo excepción expresamente señalada²². Esto viene a plasmar explícitamente los derechos que se reconocen a los ciudadanos en la Carta de Derechos y Libertades de la Persona (1975)²³.

La normativa afecta al conjunto del sector público, sin limitarse exclusivamente al gobierno. Abarca los distintos componentes de la administración pública, incluyendo las empresas estatales, agencias u organismos descentralizados o locales que, por poner un ejemplo, manejan el conjunto de instituciones educativas del sector público²⁴.

La Ley de 1982 reseña las diversas etapas del ciclo de vida de la información personal para estructurar las modalidades de protección, desde la obtención inicial del documento hasta su destrucción. Se pueden resumir esquemáticamente los principios que rigen el procesamiento de datos personales:

la recopilación o producción de estos datos debe cumplir con un propósito específico y quedar identificada como tal; también debe limitarse a obtener la información necesaria a tal efecto. Se tiene asimismo la obligación de garantizar la exactitud de dicha información²⁵
la conservación de dicha información debe de ir rodeada de garantías y de medidas de seguridad que mantengan la información al resguardo de miradas indiscretas, impidiendo cualquier acceso ilícito²⁶
el uso que se le da a la información personal debe cumplir con la finalidad para la que se obtuvo en primer lugar²⁷
la posible divulgación de dicha información a otras entidades debe cumplir con criterios específicos, y en algunos casos, acordarse de manera oficial²⁸
por último, la destrucción de esa información se impone en cuanto desaparece el motivo o finalidad de su recopilación inicial²⁹

Estos principios y normas vienen a consagrar el derecho de toda persona a tener acceso a la información que le atañe y que se encuentra en poder de cualquier entidad del sector público³⁰. Este derecho no se refiere a los rarísimos expedientes que pudieran salir del perímetro de la entidad a raíz de alguna instancia excepcional³¹. Por último, completa el conjunto el derecho de rectificación que permite a una persona lograr que se rectifique cualquier dato personal que resulte incorrecto, inexacto o incluso, falso³².

El ciudadano dispone asimismo de un recurso concreto para hacer valer los derechos que le son reconocidos por esta ley. El recurso tiene que ser en última instancia y sólo se puede interponer ante la Comisión de Acceso a la Información³³, organismo considerado como un tribunal administrativo y que, como su nombre indica, ejerce asimismo sus responsabilidades en el área del acceso a la información.

Así se compendia a grandes rasgos la estructura de esta ley que, insistimos, abarca a la vez la protección de los datos personales y el acceso a la información en el sector público.

Unas semanas después de la adopción de esta ley por la Asamblea Nacional de Quebec, el Parlamento Federal de Canadá aprobaba una ley parecida para garantizar la protección de la información personal dentro del mecanismo gubernamental³⁴; al mismo tiempo, se aprobó una Ley de acceso a la información.

La Ley de protección de los datos personales tiene más o menos los mismos objetivos. Refleja el estilo de las leyes adoptadas por el Parlamento Federal. Por ejemplo, el concepto de dato personal se describe enumerando todo tipo de datos e indicando su alcance³⁵. La enumeración comprende el grupo sanguíneo de la persona, los antecedentes penales y cualquier correspondencia intercambiada con un organismo federal, por citar algunos ejemplos.

La ley debe ser aplicada por el conjunto de los ministerios, departamentos de Estado e instituciones federales expresamente nombrados en un anexo³⁶.

Establece asimismo las exigencias relativas a la protección de la información personal en función del ciclo de vida útil de los datos, desde su recopilación inicial hasta su destrucción o cesión a los Archivos Nacionales de Canadá. La recopilación y utilización de estos datos se justifican por responder a las finalidades de los programas administrados por los ministerios y organismos³⁷. Estas disposiciones estructuran por así decir la manera en que los organismos deben abordar estas diversas fases, inclusive en lo que se refiere a la creación de repertorios de los ficheros o expedientes que recogen estos datos personales.

Por último, los ciudadanos canadienses, los residentes permanentes y toda persona que se encuentra en Canadá tienen derecho a acceder a los datos personales y a rectificarlos en caso necesario a condición que los datos sean de su exclusiva incumbencia³⁸. Una excepción importante a esta regla reside en que se permite a los parlamentarios federales obtener datos sobre los electores que soliciten su intervención a título particular para resolver determinado problema³⁹. No obstante, algunos ficheros permanecen inaccesibles. Nos referimos a los ficheros llamados “inconsultables”⁴⁰ que puede establecer la Real Policía Montada de Canadá, por poner un ejemplo.

Cualquier problema o litigio que resulte del ejercicio de este derecho de acceso puede ser objeto de una petición de intervención dirigida a la Comisaría de Protección de Datos Personales. Especializándose como Defensor del pueblo, el titular o en este caso la titular de este cargo puede formular recomendaciones tras estudiar las quejas de esta índole que le son sometidas⁴¹.

En resumidas cuentas, ambos regímenes de protección fueron implantados al mismo tiempo y presentan evidentes similitudes. Atañen exclusivamente al sector público, distinguiéndose así de las leyes adoptadas en Europa Occidental durante los años 1970 y 1980.

2.2 El sector privado

En el continente norteamericano, será Quebec quién lanzará el movimiento a favor de la expansión del régimen jurídico de protección de los datos personales al sector privado. La iniciativa radica en la reforma del Código Civil, en que se recogen y garantizan explícitamente los principios de protección de los datos de carácter personal⁴².

Tras examinar diversas posibilidades a partir de la experiencia de otros países, se optó por asegurar la continuidad. La Ley de protección de la información personal en el sector privado⁴³ , aprobada en 1993, se inscribe en la vía trazada por los legisladores diez años atrás. Cumple asimismo los criterios emitidos por la OCDE en sus Directrices sobre la protección de la intimidad y los flujos transfronterizos de datos de carácter personal⁴⁴, promulgadas en 1980.

La noción, amplia y genérica, de la información personal no difiere de aquella que se adoptó en 1982: la ley abarca cualquier información o dato que permita identificar a una persona, sea cual sea el formato o medio utilizado para registrarlo⁴⁵.

Van sometidas a esta legislación las “empresas” con sede en Quebec o que hacen negocio con Quebec⁴⁶. De acuerdo con el Código Civil, el hecho de administrar una empresa es el criterio que determina el campo de aplicación de esta ley⁴⁷. En este sentido, se asimila al concepto de empresa la práctica totalidad de las organizaciones, entidades y movimientos que recopilan, conservan y utilizan datos personales.

Estas empresas deben someterse a los principios y disposiciones de la ley en lo que se refiere al procesamiento de los datos personales, y dichos principios y disposiciones apenas difieren de los que se han implantado en el sector público.

En lo que no deja de ser un concepto de lo más novedoso, la ley de 1993 se ocupa del asunto de la transmisión al exterior de Quebec de datos personales en poder de empresas del sector privado⁴⁸. Estas últimas tienen la obligación de velar por el respeto y cumplimiento, más allá de las fronteras, de la finalidad que justifica en cada caso la recopilación de estos datos. En cierto modo, esta disposición viene a contestar a las preocupaciones con las que ya tuvo que lidiar la Unión Europea cuando redactara su directiva en 1995.

El derecho de acceso a sus propios datos personales se le reconoce a toda persona cuyos datos están en poder de una u otra empresa, según se expresa en el Código Civil⁴⁹. Al confiar a la Comisión de Acceso a la Información de Quebec la misión exclusiva de solventar los litigios - desavenencias, discrepancias o desacuerdos - ⁵⁰ que pudieran surgir por desacato a este derecho de acceso, el legislador logró por así decir unificar el régimen de protección de la información personal.

En el ámbito federal, el movimiento tomó un camino distinto, que no dejó de ser bastante original. La nueva ley fue fruto de una iniciativa llevada a cabo en concertación con el sector privado. Se la reconoce por estar marcada por el impacto de las nuevas tecnologías. Por último, la adopción de esta ley se hizo conforme a lo previsto en el régimen constitucional de la Federación canadiense, es decir tras dar opción a otras alternativas.

La Ley de protección de la información personal y los documentos electrónicos (2000)⁵¹ se aplica de idéntica manera al tipo de datos que permiten identificar a una persona⁵². El concepto permanece amplio y genérico, aunque el legislador haya concedido un lugar privilegiado a los datos médicos, plasmando así, en un campo muy determinado, el concepto y la realidad de los datos de naturaleza delicada, conforme figuran en la mayoría de las leyes europeas.

En cuanto a los medios “electrónicos” que dieron pie a este enfoque legislativo, el tema se plantea con relativa precisión, explicando las nociones respecto a la naturaleza de los documentos electrónicos, la firma electrónica y los pagos por vía electrónica, por mencionar algunos ejemplos⁵³.

A quién le incumbe velar por la aplicación y el respeto de esta ley? Ante esta interrogante, el legislador federal se vio obligado a conciliar sus objetivos y las disposiciones de la Constitución canadiense en lo que se refiere al reparto de competencias entre el Parlamento federal y las diversas legislaturas de los estados federados. El Parlamento federal se acogió así pues a las competencias que pertenecen al gobierno federal en el ámbito del comercio interprovincial⁵⁴.

De esta manera quedaron sometidas a la ley de 2000 las empresas que dependían de la competencia legislativa del Parlamento federal, es decir, los bancos, cadenas de radio y televisión y, de forma general, todas las empresas comerciales dedicadas a hacer negocio en más de una sola provincia⁵⁵.

Una notable novedad que sorprendió a más de un jurista residió en que los principios o modalidades de aplicación de esta ley figuraban en un documento adjunto a la ley en sí⁵⁶. Se trataba en realidad de una reproducción del ‘modelo de código’ sobre protección de datos personales que había sido redactado y negociado por la Asociación Canadiense de Normalización. El texto poco tiene que ver con un documento jurídico; contiene ejemplos, y hasta sugerencias. Este código se inspira de los principios descritos por la OCDE en sus directrices de 1980, que ya hemos tenido ocasión de comentar.

El código gira en torno a diez principios y describe las modalidades a las que deberá atenerse en adelante cualquier organización prevista en esta ley.

Responsabilidad: describe y explica las obligaciones de las empresas a las que atañe la ley.
Determinación de los fines de la recopilación de los datos: se trata de la obligación de estipular desde un principio la finalidad de los datos personales antes de proceder a su recopilación.
Consentimiento: este principio debe imperar cada vez que se proceda a la recopilación de datos. Bajo este apartado se pormenorizan la naturaleza y los diversos tipos de consentimiento que se han de obtener del ciudadano.
Recopilación limitada: los datos deben recopilarse en función de su necesidad para la obtención de los resultados previstos.
Limites de utilización, difusión o conservación: el respeto del principio de finalidad dictamina las medidas relativas al ciclo de vida útil y a la utilización de los datos personales, incluyendo su eventual destrucción.
Exactitud: esta exigencia busca entre otros aspectos evitar que se tomen decisiones contrarias a los intereses de las personas basándose en datos erróneos o falsos.
Transparencia: los objetivos que se persiguen mediante la recopilación de datos deben describirse en un enunciado de principios, declaración de política o documento equivalente accesible.
Medidas de seguridad: el código describe las diversas exigencias en función de la naturaleza más o menos delicada de los datos recopilados y conservados.
Acceso a los datos personales: determina la necesidad de respetar el derecho de la persona a tener acceso a los datos de los que dispone una empresa sobre ella.
Posibilidad de presentar una reclamación por desacato a estos principios: describe la obligación por parte de las empresas de preveer mecanismos para dar seguimiento a las reclamaciones procedentes de los ciudadanos o consumidores.

Aunque esta lista pueda parecer exhaustiva, el legislador rizó el rizo confiriendo al ciudadano el derecho de someter a la Comisaría de Protección de Datos Personales cualquier problema o litigio que pudiera surgir en este ámbito⁵⁷. Una vez más, el régimen de protección de la información personal se somete a una forma de unificación en lo que se refiere al respeto de los principios y obligaciones que rigen la protección de los datos personales de los ciudadanos. Esta ley resulta particularmente novedosa en el contexto federal canadiense. Como hemos visto, atañe a todas las empresas bajo jurisdicción federal, lo cual le confiere un carácter nacional. Pero además de ello, contiene una disposición extraordinaria en este sentido, a saber que la ley entra en vigor en el conjunto del territorio de Canadá, salvo que el Parlamento de alguna de las provincias promulgue alguna ley que se considere equiparable o “esencialmente similar”⁵⁸. Desde entonces, este carácter equivalente se ha reconocido en las leyes adoptadas por Quebec⁵⁹ y dos otras provincias, Alberta⁶⁰ y Colombia Británica⁶¹ ; lo mismo ha ocurrido con una ley de Ontario que incumbe a los depositarios de datos médicos en dicha provincia⁶².

2.3 La trayectoria de Nuevo Brunswick

La Ley de protección de la información personal, en vigor en Nuevo Brunswick y que rige exclusivamente el sector público, fue adoptada en 1998⁶³. Se puede calificar como una ley breve, elástica y original, todo a la vez.

Al tiempo que apoyaba las nociones convencionales para definir la "información personal", la Ley de 1998 no se limitó exclusivamente a los datos claros y objetivos que identifican a una persona y que la diferencian de cualquier otra. El legislador incluye bajo esta categoría la información que, por un fenómeno de asociación, puede conducir a este tipo de identificación, incluso en ausencia de datos concretos acerca de la identidad de una persona.

La ley de Nuevo Brunswick atañe a todos los organismos del sector público que ya se regían por la Ley de acceso a la información desde 1978. Por lo tanto, cabe decir que existe cierta correspondencia con el régimen de transparencia administrativa que impera en esta provincia desde hace 30 años.

La Asamblea Legislativa de Nuevo Brunswick estableció un precedente en materia de protección de datos personales al introducir su llamado "Código de Prácticas Normativas", que resultó ser una versión simplificada de los principios que acababa de desarrollar la Asociación Canadiense de Normalización (CSA) para el sector privado. El proyecto originalmente diseñado para el sector privado fue por tanto adaptado al sector público por la Asamblea Legislativa de Nuevo Brunswick. En 2001, en su ley dirigida al sector privado, el Parlamento federal haría otro tanto, retomando la versión original del código desarrollado por la CSA.

La Asamblea Legislativa en Fredericton no legisló en ningún momento la protección de los datos personales en el sector privado, entendiendo el gobierno que las empresas del sector privado debían emprender este camino mediante la aplicación de las mismas normas, pero con carácter voluntario; dicho de otro modo, se trataba de un incentivo más o menos explícito para la adopción de una forma de autorregulación. Pero nunca se llegaría a comprobar el acierto de este esquema supuestamente ejemplar que predicaba el "buen ejemplo", ya que la ley federal de 2001, que regula el conjunto del sector privado de Canadá, vino a suplantar la propuesta de autorregulación que se planteaba Fredericton.

La misión de hacerse cargo y de estudiar las reclamaciones y litigios relacionados con esta ley le fue encomendada al Defensor del Pueblo de Nuevo Brunswick⁶⁴. Se adoptaron enmiendas correlativas en esta ley con objeto de garantizar la transparencia y mejorar la protección de los datos personales. El legislador optó por conservar dos regímenes legislativos distintos en lo que se refiere a la transparencia y la protección de la información personal. El alcance y el campo de aplicación de estas dos leyes aplicables al sector público, el hecho de confiar las funciones de hacerse cargo e investigar las reclamaciones a un sólo y mismo agente de control y las referencias internas a los principios de derecho de cada régimen legislativo facilitan la coordinación y conciliación de sendas grandes tendencias del derecho público.

Esta breve panorámica permite destacar una serie de características de los regímenes de protección de datos en los tres sistemas políticos que estamos estudiando.

Estas leyes reconocen de alguna manera la legalidad de la recopilación y del uso de los datos personales.
Especifican y delimitan los procedimientos de procesamiento de los datos, desde su recopilación hasta su destrucción.
Se articulan en función de los sectores público y privado.
Garantizan a los ciudadanos el derecho de acceso a los datos personales que les atañen;
Por último, estas leyes confieren a un organismo de control la misión de velar por el cumplimiento de estos principios y derechos de los ciudadanos.

3. LAS MODALIDADES DE CONTROL

Para los autores de los proyectos de ley concebidos para garantizar los derechos relativos a los datos personales de los ciudadanos quedaba de manifiesto que había que confiar la tarea a un organismo que ejerciera el control. La decisión adoptada por el legislador en Canadá, Quebec y Nuevo Brunswick fue por así decir dictada por el establecimiento de un régimen de acceso a la información.

A finales de la década de 1970, el examen de posibles soluciones resultaba bastante limitado. Sólo un puñado de países se había aventurado por este sendero. Los EE.UU. optaron por una solución mínima: los tribunales se encargarían de los problemas que pudieran surgir a raíz de la aplicación de la Ley de protección de los datos personales (Privacy Act). En Europa, Francia, Suecia y el estado de Westfalia establecieron organismos originales.

3.1 La Comisión de Acceso a la Información de Quebec

En Quebec, el gobierno adoptó la propuesta del Comité de trabajo y decidió confiar el control de la Ley de 1982, en sus dos vertientes - Acceso a la Información y Protección de los datos personales - a un nuevo órgano: la Comisión de Accesoa la Información o CAI.

La creación de esta comisión obedecía a un objetivo fundamental: confiarle el mandato de proceder, de manera coherente, al inevitable arbitraje entre sendos derechos que se insertaban bajo una sola ley: el acceso a los documentos del sector público y la protección de los datos personales en poder del sector público.

Los elementos básicos de la naturaleza y de los poderes que se habían de conferir a esta Comisión radicaban en la tradición relativamente reciente de los "tribunales administrativos". Al darle una categoría cuasi-judicial, la CAI se convirtió de hecho en un organismo multifuncional que cumple con diversos objetivos en ambas áreas⁶⁵

La Comisión es un órgano colegiado cuya administración está a cargo de un presidente, que puede contar con el apoyo de un vicepresidente. Se constituye de un máximo de cinco personas, que se comprometen a cumplir con el cargo durante un período renovable de cinco años⁶⁶.

El presidente y los miembros de la Comisión son nombrados por la Asamblea Nacional tras someterlo a voto, debiendo prevalecer la mayoría, es decir dos tercios de los diputados⁶⁷. Desde hace poco, la Asamblea Nacional confía a una comisión el cometido de proceder a la selección de los candidatos tras lanzar un llamamiento público a las candidaturas.

La situación de la Comisión dentro de la estructura del mecanismo político es particular. La CAI goza evidentemente de los poderes que le son inherentes por su condición de tribunal administrativo y tiene verdadera independencia en este sentido. Esto no impide su vinculación al gobierno como miembro del Consejo de Ministros en lo que se refiere a los aspectos presupuestarios. En torno al ministro encargado, un grupo de funcionarios define las medidas y procedimientos para concretar la implementación de los objetivos de la ley.

La Comisión dispone de medios concretos para fomentar el respeto de la ley dentro del conjunto del sector público. Puede decretar avisos y formular recomendaciones para el conjunto de este sector⁶⁸. Tiene asimismo la misión de difundir los objetivos de esta ley entre la población⁶⁹. Por último, puede someter un informe especial ante la Asamblea Nacional sobre cualquier asunto importante⁷⁰.

En su funcionamiento diario, la Comisión se divide en dos secciones; la primera tiene por cometido vigilar la aplicación de la ley; la segunda dispone de poderes jurisdiccionales para fallar en los litigios que resulten de la denegación del acceso de los ciudadanos a sus datos personales o de la negativa de dejarles proceder a la rectificación e incluso a la destrucción de los mismos. Esta arquitectura refleja la voluntad del legislador de velar porque haya una verdadera impermeabilidad entre ambas funciones.

La sección encargada de la vigilancia debe a su vez velar por el cumplimiento de las modalidades de ejecución que garanticen la protección y la seguridad de la información personal.

En el sector público, este mandato se lleva a cabo mediante la promulgación por adelantado de las condiciones que se deben cumplir en lo que respecta a la creación y gestión de archivos que contengan datos personales. La Comisión también podrá permitir a los investigadores el acceso, con fines de estudio, a la información personal sin el consentimiento de los interesados - que es el principio más fundamental de la protección de dichos datos. Por último, tiene el derecho de formular observaciones u objeciones en relación con los proyectos de intercambio de información personal entre dos ministerios, organismos o entidades gubernamentales.

Esta dirección de vigilancia, encabezada por al menos un Comisario, también está involucrada cuando los ciudadanos se quejan de una falta de respeto hacia sus datos personales en los sectores público y privado. La investigación puede ser encomendada a un miembro del personal de la Comisión de acuerdo con las facultades conferidas por la ley en este sentido. La persona seleccionada puede exigir el acceso a toda la información necesaria para aclarar el supuesto problema. Al concluir la investigación, un Comisario se hace cargo del informe. Debe conocer los puntos de vista de las partes implicadas antes de tomar una decisión que será ejecutiva y vinculante en ambos sectores, el privado y el público.

La función jurisdiccional se ejerce en los casos en que se deniega a una persona el acceso a sus datos, o la rectificación o destrucción de los mismos o, en términos de acceso, cuando se rechaza una solicitud de documentos. La mediación es un proceso que suele iniciarse en el momento en que se solicita la intervención. A falta de un acuerdo, el caso es asignado a uno de los Comisarios que, durante una audiencia pública, escuchará los testimonios de las partes involucradas. La decisión redactada por el Comisario al término de la audiencia reviste un carácter vinculante. Esto es precisamente lo que ocurrió en el caso descrito al inicio del documento, donde un padre buscaba tener acceso al expediente de su hijo.

Las decisiones de la Comisión podrán ser recurridas ante el Tribunal de Quebec cuando se trate de impugnar una cuestión de derecho o jurisdicción. Al igual de lo que se prevé para todos los tribunales administrativos de Quebec, el legislador estableció una puerta de entrada hacia el sistema judicial. En determinadas circunstancias, los tribunales superiores pueden así pues tener que emitir un fallo sobre las decisiones dictadas por la Comisión de Acceso a la Información⁷¹. Este planteamiento judicial contribuye realmente al desarrollo de una jurisprudencia en el ámbito de la protección de datos personales.

3.2 La Comisaría de Protección de Datos Personales de Canadá

Durante la fase de desarrollo de la ley federal, abogados y expertos barajaron algunos modelos ya existentes en Europa, pero terminaron optando por los precedentes establecidos en Ottawa durante la década de 1960, adaptando el modelo del Defensor del Pueblo cuyo acierto ya se había podido comprobar, especialmente cuando se procedió a la creación de la Oficina del Comisario de los Idiomas Oficiales.

En el momento de la adopción de la ley que terminaría rigiendo la protección de los datos personales en el sector privado, no parecía haber la menor duda en cuanto a la necesidad de un organismo de control. Esta función no podía sino recaer en la Comisaria de Protección de Datos Personales, sobre todo porque la persona que ocupaba el cargo por aquella época desempeñó un importantísimo papel en el proceso que condujo a la aprobación de la Ley de protección de la información personal y los documentos electrónicos.

Como Defensor del Pueblo o mediador, el (o en este caso la) titular de este cargo es un súper funcionario del Parlamento⁷², que entra en la misma categoría que el Interventor General de Cuentas de Canadá o que el Director General de Elecciones de Canadá. Estas personas comparten la misión de control que el Parlamento ejerce sobre el mecanismo gubernamental y administrativo. Disfrutan de prestigio, de inmunidad y de la latitud que les concede el poder legislativo.

El proceso de nombramiento de un Comisario también está evolucionando. A petición del Primer Ministro, el candidato para este cargo tiene que responder ante el Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética. Desde hace poco, los candidatos a la Corte Suprema tienen que pasar por el mismo camino. El cargo del Comisario de Protección de datos personales dura 7 años⁷³, pudiéndose renovar al cabo de dicho plazo, lo cual demuestra su importancia.

En cuanto a la protección de datos personales, el Comisario actúa como asesor del Parlamento federal, lo más a menudo ante el Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética. También le toca rendir cuentas de su administración ante el Parlamento⁷⁴.

En ambos sectores, público y privado, el Comisario ejerce más o menos de idéntica manera, utilizando los mismos poderes y siguiendo un mandato bastante parecido. Con respecto al sector privado, el legislador le ha confiado la responsabilidad de promover el conocimiento y el respeto de la ley⁷⁵, lo cual explica las campañas de sensibilización y los programas de educación previstos para las organizaciones y empresas sujetas a la ley. En el sector público, le incumbe a la Secretaría del Consejo del Tesoro desarrollar y difundir directrices y políticas que permitan a los ministerios y demás organismos cumplir con sus obligaciones.

En la práctica, el Comisario tiene un triple cometido, es decir: hacerse cargo de las quejas, emprender investigaciones y llevar a cabo las auditorías.

Los ciudadanos pueden acudir al Comisario cuando se les deniega el acceso a sus datos personales o la posibilidad de rectificarlos, ya se trate del sector público o del privado⁷⁶. Las denuncias también pueden presentarse por incumplimiento de los principios que rigen la administración de los datos personales. El Comisario podrá, por propia iniciativa, intervenir y encargarse de un caso que le llame la atención⁷⁷. La mediación o la conciliación son los procedimientos previstos por la ley.

Del mismo modo, el Comisario podrá emprender "comprobaciones del cumplimiento" para examinar detenidamente la manera en que los ministerios y organismos garantizan la aplicación de los principios y normas que deben regir la protección de los datos personales; en el sector privado, se prefiere el término "auditoría" para describir el mismo enfoque⁷⁸. Es en esta facultad que la actual Comisaria de Protección de Datos Personales de Canadá procedió al examen de los expedientes inconsultables en poder de la Real Policía Montada del Canadá, como se informó al principio de este documento⁷⁹.

Para llevar a cabo las investigaciones y auditorías, el Comisario goza de facultades sustanciales⁸⁰. Sus colaboradores pueden penetrar en los edificios y oficinas para llevar a cabo las distintas etapas de una investigación. Pueden tener acceso a todos los documentos que consideren necesarios consultar. También pueden hacer comparecer a testigos e interrogarles bajo juramento. Dicho de otro modo, pueden llegar al fondo de las cosas.

Las investigaciones y auditorías, así como el examen de las quejas pueden desembocar en conclusiones⁸¹. Sin embargo y al igual que todos los defensores del pueblo, el Comisario se tiene que limitar a formular recomendaciones, ya sea en respuesta a las quejas de los ciudadanos o como conclusión de su investigación y auditoría. Estas recomendaciones revisten una evidente autoridad moral que se deriva del prestigio de la oficina, conforme al propósito del legislador.
Este poder de recomendación conlleva dos posibilidades de ampliación. El ciudadano insatisfecho de la manera en que se han aplicado las recomendaciones del Comisario puede presentar su caso ante el Tribunal Federal⁸². El Comisario podrá hacer otro tanto en nombre de los ciudadanos, o por su propia iniciativa⁸³. También podrá solicitar la intervención judicial para garantizar el cumplimiento de los principios y propósitos de la ley⁸⁴.

Por último, el Comisario podrá someter cualquier asunto de este tipo ante el Parlamento en su informe anual⁸⁵. También puede presentar un informe especial ante el Parlamento⁸⁰. Esto es lo que ocurrió en febrero de 2008, tras su investigación sobre los bancos de datos de la Real Policía Montada de Canadá. Esto supone una oportunidad de atraer la atención del público sobre un problema importante.

Conforme a la Ley del sector privado, el Comisario desempeña un papel muy especial en relación con los estados federados. En su informe anual, puede de hecho indicar la adopción por una u otra Asamblea Legislativa de una ley que considera “sustancialmente similar” ⁸⁷. El Comisario podrá celebrar acuerdos con los organismos de control de un estado de la Federación con el fin de garantizar un mismo grado de protección de la información personal a través de Canadá⁸⁸.

3.3 El Defensor del Pueblo de Nuevo Brunswick

En Nuevo Brunswick, el gobierno decidió confiar al Defensor del Pueblo el mandato provincial para garantizar el control de la nueva Ley de protección de los datos personales que atañe exclusivamente al sector público⁸⁹. Esta es la opción que se adoptó en 1978, cuando Nuevo Brunswick se convirtió en la segunda provincia canadiense en establecer un sistema de acceso a la información⁹⁰.

Con los años, estas nuevas responsabilidades han venido a sumarse a otros cometidos del Defensor del Pueblo. Además del papel que desempeña en relación con el acceso a la información, el titular del cargo también actúa como Defensor del Niño y cumple funciones importantes relacionadas con los archivos de la provincia. Por último, su oficina se encarga de las quejas y los problemas relativos a las contrataciones y los nombramientos en la administración pública. En resumen, el cargo bien merece el calificativo de "generalista".

El nombramiento del cargo suele hacerse por votación en la legislatura, a instancias del Primer Ministro. La recomendación del Parlamento se remite luego al gobierno con el fin de conseguir su ratificación y proceder al nombramiento⁹¹ .

El Defensor del Pueblo tiene la facultad de “persona designada” por la Asamblea Legislativa de la misma manera que sucede con el Interventor General de Cuentas, el Comisario de los Idiomas Oficiales, el Responsable de los Conflictos de interés y el Defensor de los ciudadanos en el ámbito de los seguros. Estos "agentes de la Asamblea Legislativa" ejercen su mandato con respecto al conjunto de los órganos de administración y de gobierno y tienen alguna forma de independencia sustancial.

El alcance de las funciones del Defensor del Pueblo con respecto a los datos personales está claramente definido por la ley. Tiene gran libertad en los temas que atraen su atención. Además, la propia Asamblea Legislativa puede confiarle determinadas investigaciones⁹².

En el ejercicio de sus funciones, el Defensor del Pueblo tiene competencia para actuar como Comisario investigador, conforme se define en la legislación específica⁹³. Goza de entera libertad en la elección de los métodos a emplear en relación con el estudio de los problemas que le son planteados. Para llevar a cabo sus investigaciones, puede autorizar a sus empleados a penetrar en los edificios donde se ubican los servicios que son objeto de una denuncia o que están bajo investigación. Puede citar e interrogar bajo juramento a cualquier funcionario y, en determinadas condiciones, a personas ajenas a la administración pública. Tales son las facultades que permitieron al Defensor del Pueblo ocuparse del expediente de la pérdida, en alguna parte entre Nuevo Brunswick y Colombia Británica, de cintas informáticas que contenían datos médicos personales, tal como indicábamos al principio de este documento⁹⁴.

Al igual que los defensores del pueblo en la mayoría de los estados, la investigación y evaluación de las quejas se plasman en un informe en el que se puede formular recomendaciones específicas y concretas⁹⁵. El legislador ha apostado por el poder moral del Defensor del Pueblo para facilitar la resolución de problemas y conflictos que están bajo su autoridad. Si el Defensor del Pueblo no está satisfecho de las medidas adoptadas en respuesta a alguna de sus recomendaciones, puede someter un informe al gobierno y, en su caso, ante la Asamblea Legislativa⁹⁶. Por lo tanto, además del poder moral que ejerce, el Defensor del Pueblo dispone en último recurso del peso de una intervención de naturaleza política o casi.

Por último, la publicación del informe anual también puede proporcionar una oportunidad de dar a conocer al público los problemas y dificultades que el Defensor del Pueblo ha podido experimentar al ocuparse de expedientes que juzga importantes o ejemplares así como para plantear cualquier tema de su elección.

Desde hace treinta años, el Defensor del Pueblo tiene asimismo el cometido de estudiar las peticiones relacionadas con la Ley del derecho a la información. Una vez más, no dispone de la autoridad necesaria para ordenar. Ejerce el control mediante la formulación de recomendaciones.

Siendo ante todo un mediador parlamentario, el Defensor del Pueblo atiende las denuncias presentadas en virtud de la Ley de Archivos y la Ley de la Administración Pública. Lleva cuarenta años ejerciendo el derecho de vigilar el mecanismo administrativo provincial. Todos los organismos públicos están sujetos a su control sin poder pretextar que existe una cláusula de confidencialidad o que se trata de un secreto de Estado. En este sentido su mandato en relación con el control de la protección de datos se ve reforzado por la experiencia y la garantía de autonomía e independencia moral e institucional que se le reconoce al Defensor del Pueblo.

El modelo del Defensor del Pueblo también tiene la ventaja de confiar el control de la protección de datos a un oficial parlamentario especializado en la transparencia, la equidad procesal y el buen funcionamiento de los organismos y ministerios del Estado.

Desde 2006, el Defensor del Pueblo ejerce una nueva función especializada como Defensor de la niñez y de la juventud. En este contexto, a menudo le toca centrarse en temas espinosos en que los objetivos de transparencia chocan con los principios de protección de datos, por ejemplo, cuando se trata de la coordinación de los servicios públicos destinados a los jóvenes y sus familias. En estos casos, el deber de confidencialidad es sin duda mayor, pero como lo que prima es el interés del niño afectado, puede resultar imprescindible un intercambio de información entre las partes interesadas. Para aquellos que pudieran preocuparse ante la perspectiva de un exceso de rigor en relación con la protección de datos personales, el modelo de Nuevo Brunswick tiene la ventaja de confiar la responsabilidad a una persona “generalista” además de poderosa y benevolente. Por último, en un estado de una población de cerca de 700.000 habitantes, este modelo ha demostrado ser flexible y eficaz, probablemente debido al hecho de haber sido confeccionado a medida.

De esta breve presentación de las características fundamentales de los organismos de control establecidos en Ottawa, Quebec y Fredericton, se desprenden una serie de características en común.

Los titulares de estos tres cargos están sujetos a un proceso de nombramiento con carácter excepcional, en el que el Parlamento desempeña un papel de primer orden. Este enfoque refleja la importancia del cargo a la vez que otorga un innegable prestigio a la persona nombrada.
Del mismo modo, la vinculación entre la persona y la institución parlamentaria resulta explícita en el sistema federal y en el de Nuevo Brunswick, siendo algo más compleja en Quebec. Esto faculta a ambos titulares a ejercer una indiscutible autoridad moral.
La Comisaría de Protección de Datos Personales, la Oficina del Defensor del Pueblo de Nuevo Brunswick y la Comisión de Acceso a la Información de Quebec tienen considerable autoridad en cuanto a los procedimientos que se han de seguir para resolver los problemas que les son planteados.
Por último y en lo que se refiere a los organismos de control de Quebec y de Canadá, la intervención de los tribunales, en última instancia, contribuye al desarrollo de una jurisprudencia que incrementa el peso y el alcance de los principios y modalidades que rigen la protección de la información personal.

4. UNA LABOR CONTINUA

La vida de las leyes e instituciones rara vez va viento en popa. El dicho cobra aún mayor relevancia tratándose de la información personal y del derecho a la privacidad. La magnitud de los cambios habidos merced a la tecnología de las comunicaciones ha transformado radicalmente el mundo al que se dirigía la legislación, hace ya más de cuarto de siglo en el caso de Canadá y Quebec.

En los últimos dos años, la legislación sobre la protección de los datos personales ha sido sistemáticamente revisada en Nuevo Brunswick, Canadá y Quebec.

4.1 En Nuevo Brunswick

A principios de junio de 2008, el gobierno sometió ante la Asamblea Legislativa un proyecto de ley que, entre otras disposiciones fundamentales, establecía la creación del cargo de Comisario encargado del acceso a la información y de la protección de datos personales. El proyecto de ley se basaba en gran parte en el modelo de otras provincias canadienses que, desde la aprobación de la Ley de Quebec de 1982, reúne ambos regímenes normativos.

El gobierno respondía de esta manera a la mayoría de las recomendaciones del grupo de trabajo que se había visto encomendar un mandato por partida doble, es decir revisar la Ley de Acceso a la Información, en vigor desde hace exactamente 30 años y la Ley de 2001 sobre protección de datos personales en poder del sector público⁹⁷. Este cometido derivaba de los compromisos asumidos por el nuevo gobierno durante la campaña electoral que lo llevó al poder.

Los miembros de este grupo de trabajo no tardaron en lanzar una amplia consulta pública mediante la publicación en un sitio Web de un cuestionario detallado dirigido a los ciudadanos y grupos interesados. Este enfoque resultó fructífero, ya que rindieron testimonio sobre el tema todo un elenco de consejeros municipales, directores de prensa, representantes de las comisiones de planificación urbana, altos funcionarios del gobierno y de la legislatura, agencias privadas, ciudadanos de diferentes estratos sociales y el Comité consultivo sobre la condición femenina, por nombrar algunos de los participantes.

El Defensor del Pueblo, encargado de controlar el respeto de la normativa referente al acceso a la información y a la protección de los datos personales, intervino en el proceso. Sometió un informe detallado recomendando la aportación de numerosas enmiendas a ambas leyes⁹⁸. Más concretamente, sugería la creación por parte de la Asamblea Legislativa de un cargo de Comisario con poder para emitir ordenanzas, abogando asimismo por la adopción de un Código sobre el derecho a la información y a la protección de los datos personales que reconociera explícitamente el carácter fundamental de sendos derechos.

El Grupo de Trabajo tomó acta de las quejas del Defensor del Pueblo en relación con el silencio legislativo de Nuevo Brunswick en lo que se refería a la protección de datos en el sector privado a la vez que reconocía que el tema requería "un estudio más detenido que tendría que llevarse a cabo otro año” ⁹⁹. El legislador tomó en cuenta las recomendaciones del Defensor del Pueblo sobre el alcance y la aplicación de la ley en el sector público. Entre los cambios habidos, cabe destacar la aplicación de la nueva ley a los municipios y universidades.

A principios de 2009, este proyecto de ley se remitió a una comisión de la Asamblea Legislativa. Una nueva ley podría proponerse en la primavera y podría entrar en vigor de aquí a fin de año.

4.2 En el escenario federal

En el momento de escribir este artículo, el Comité Permanente de la Cámara de los Comunes sobre Acceso a la Información, Protección de Datos Personales y Ética sigue trabajando en la revisión de la ley de 1982 que regula la protección de la información personal en el sector público. Hace precisamente un año que presentó su informe tras el estudio de la Ley de 2000, que rige el conjunto del sector privado¹⁰⁰.

Durante el invierno de 2006-2007, el Comité tuvo que encargarse de revisar la Ley de protección de la información personal y los documentos electrónicos¹⁰¹, cinco años después de su adopción. Las leyes recién acuñadas para regular el sector privado en Colombia Británica y Alberta a raíz de la legislación ya vigente en Quebec, también militaron a favor de este replanteamiento.

El enfoque fue impresionante. No menos de 67 testigos fueron citados ante el Comité, que además recibió 34 propuestas de diversas esferas de la sociedad, entre los que figuraban la Asociación Médica Canadiense, la Central de Cooperativas de Crédito de Canadá, el Colegio de Abogados de Canadá, la Cámara de Comercio de Canadá, representantes de los ministerios y organismos del gobierno federal, la Oficina de Aseguradoras Canadá, el Centro de Recursos para Víctimas de Delitos, la Asociación de Jefes de Policía de Canadá, el Centro para la Defensa del Interés Público, numerosos expertos y los comisarios encargados de la protección de los datos personales de diversas provincias canadienses. Aunque sólo se trate de algunos ejemplos de la participación habida, queda de manifiesto que casi todos los sectores del mundo de los negocios, la sociedad civil y los círculos de gobierno deseaban hacer valer su punto de vista.

El Comité presentó su informe sin haber transcurrido tres meses desde que concluyó su labor. En dicho informe recomendaba esencialmente mantener tal cual la ley aprobada en 2000, aportando únicamente algunos pequeños cambios. Este es también el sentido del informe publicado en nombre del gobierno canadiense, por el titular de la cartera de Industria, que había apadrinado la ley cuando se acuñó en el año 2000: “el paso del tiempo pondrá esta la ley a prueba”, decía el Ministro en este informe. En cuanto a las enmiendas propuestas por el Comité de la Cámara de los Comunes, el gobierno se comprometió a realizar consultas en diversos sectores, contando entre otros con la opinión de la Comisaria de Protección de Datos Personales, con el fin de cimentar un consenso sobre este tema.

En 2003, el gobierno decidió volver a examinar la pertinencia de la separación administrativa y jurídica de la Ley de acceso a la información y la Ley de protección de los datos personales. En cada uno de los estados de la Federación, ambas normativas quedan fusionadas, conforme al precedente establecido por Quebec en 1982. Tras un estudio en el que se escuchó el testimonio de expertos, altos funcionarios y representantes de la sociedad civil, el Honorable Gérard La Forest, antiguo juez de la Corte Suprema de Canadá, recomendó dejar las cosas como estaban. Por ende, la Comisaría de Protección de Datos Personales seguía siendo una entidad autónoma encargada de ejercer el control de las leyes de protección de los datos personales en el sector público así como el privado.

En 1982, al adoptarse la Ley de protección de datos personales, el legislador se había comprometido a revisar su relevancia tras sus primeros cinco años de existencia. Cumpliendo con su palabra, en 1987 un comité de la Cámara dedicó varias reuniones al estudio de esta ley que seguía percibiéndose como un instrumento novedoso en Occidente. Pero, debido a una serie de circunstancias, la labor no llegaría a emprenderse.

Hace relativamente poco (otoño de 2005) que los diputados del comité encargado del expediente de la Ley de protección de los datos personales tomaron el relevo y encargaron a la Comisaria de Protección de Datos Personales que produjera un informe detallado para iniciar el trabajo concreto de los parlamentarios en 2006. En abril de 2008, la Comisaria presentó otro informe en el que proponía diez enmiendas a la Ley de protección de los datos personales de 1982.

Todos estos documentos ilustran la necesidad de poner al día una ley que ya lleva arrastrando cuarto de siglo. La Comisaria basó su demostración en los principales cambios que de alguna manera hacen peligrar la protección de los datos personales hoy día. Sin duda hay que contar con los cambios tecnológicos, pero también con nuevos problemas causados por los acontecimientos de los últimos años, incluyendo los atentados del 11 de septiembre de 2001: este es el telón de fondo de una necesaria actualización de la Ley de 1982.

El Comité de la Cámara de los Comunes se ha apresurado en iniciar el estudio de las diez enmiendas que la Comisaria desea que se adopten lo antes posible. Las medidas propuestas pueden contribuir a mitigar los retos más apremiantes para la protección de los datos personales, al menos hasta que se proceda a un replanteamiento global de la ley. Todas ellas se derivan de los problemas encontrados en los últimos años en la aplicación de los principios que rigen la protección de los derechos del ciudadano en este ámbito.

Durante sus reuniones, el Comité ha oído el testimonio de altos funcionarios del gobierno federal, expertos en el tema de la protección de datos personales, ex comisarios de las provincias de Canadá, el Ministro de Justicia, representantes del Colegio de Abogados, la Real Policía Montada del Canadá y la Secretaría del Consejo del Tesoro, por citar algunos ejemplos. La Comisaria de Protección de Datos Personales de Canadá y sus ayudantes han tenido varias intervenciones ante el Comité.

El Comité debería completar su labor al reanudarse la sesión parlamentaria a finales del verano y seguramente presentará su informe de aquí a unos meses. Resumiendo, en un caso como en el otro, la revisión por parte del Comité de la Cámara de los Comunes de ambas leyes de protección de los datos personales ha movilizado gran número de representantes de los principales sectores de la sociedad canadiense.

4.3 En Quebec

En junio de 2006, la Asamblea Nacional aprobó una importante revisión de las dos leyes que ordenan la protección de los datos personales en los sectores público y privado¹⁰². Este enfoque se ha llevado a cabo una sola vez, en 1987, de conformidad con la Ley de 1982 que prevé expresamente une revisión parlamentaria al término de cada lustro. La ley que atañe al sector privado, que entró en vigor en 1994, contiene una disposición similar e igual de imperativa.

En 1992 y 1997, la Asamblea Nacional había recibido el informe elaborado por la Comisión de Acceso a la Información, que, de acuerdo con la ley, es el elemento que desencadena el proceso de revisión a los cinco años. En ambos casos, diversas circunstancias, tales como la celebración de elecciones, pusieron término al proceso y no se pudo cumplir con la intención legislativa. En última instancia, la revisión sistemática de la Ley de acceso a los documentos del sector público y de protección de los datos personales (1982) y la Ley de protección de los datos personales en el sector privado (1993) sólo se iniciaría y llevaría a cabo a raíz del informe titulado "Reforma del Acceso a la Información: Optando por la Transparencia"¹⁰³, presentado en 2002.

La Comisión de Acceso a la Información de Quebec (CAI) desarrolló este último informe a la luz de las lecciones aprendidas a lo largo de los años en sus actividades de control. También se basó en los cambios habidos en otros estados. El informe se refiere a ambas vertientes de la ley que habían sido acopladas por el legislador, es decir, el acceso a la información y la protección de los datos personales. Unas 15 recomendaciones sobre las 53 formuladas por la CAI se referían específicamente a la protección de los datos personales, ya sea en el sector público o en el privado.

En el otoño de 2003, la Comisión de Cultura de la Asamblea Nacional celebró una primera ronda de consultas. No menos de 45 particulares y organizaciones presentaron escritos ante la Asamblea Nacional para dar a conocer su postura sobre las recomendaciones de la CAI. Durante una serie de reuniones públicas que se desarrollaron durante varios días, los miembros de la Comisión de Cultura pudieron escuchar el testimonio de 37 portavoces de distintos organismos, ministerios o negocios.

De esta manera comparecieron ante la Comisión de Cultura, la Asociación de Aseguradoras de Canadá, la Asociación de Establecimientos Sanitarios de Quebec, la Asociación de Testigos Especiales de Quebec, el Colegio de Médicos de Quebec, el organismo de protección del consumidor- Option consommateur, los grupos ecológicos SOS Déchets (SOS Residuos) y Enviro-action, el Consejo de Prensa, el diario La Presse, la Comisión Nacional de Sindicatos, la Asociación de acceso y protección de la información, la Defensora del Pueblo, la Federación de Institutos de Enseñanza Privada y algunos expertos independientes. La lista resulta mucho más larga y es fiel reflejo del interés generado por este enfoque en numerosos sectores en Quebec.

Tras esta ronda de consultas, la Comisión de Cultura entregó en mayo de 2004 un informe que contenía 24 recomendaciones. Quince meses más tarde, el ministro responsable de la aplicación de estas leyes presentó ante la Asamblea Nacional un proyecto de ley moldeado bajo el cincel de las consultas públicas.

En septiembre de 2005, se emprendieron otra serie de consultas públicas, nuevamente bajo el ala de la Comisión de Cultura de la Asamblea Nacional. En total, unos 27 testigos dieron a conocer sus reacciones frente a las intenciones del gobierno. Se trataba más o menos de los mismos portavoces que habían comparecido durante las consultas anteriores, lo cual demuestra que los interesados o afectados estaban muy pendientes de las evoluciones.

Por último, en el invierno de 2006, la nueva versión del proyecto de ley - el llamado Proyecto 86 - regresó ante la Asamblea Nacional para seguir el proceso legislativo tradicional: lecturas en sesiones plenarias, estudio detallado del proyecto de ley durante las reuniones de la Comisión y últimos ajustes y aprobación definitiva por parte de la Asamblea en junio de 2006.

Parece que la Asamblea Nacional apostó por la continuidad al actualizar ambas leyes que han sentado un verdadero precedente en lo que se refiere a la protección de los datos personales en el continente norteamericano. La versión original de sendas leyes ha sufrido cambios significativos, pero su espíritu general de ninguna manera ha sido alterado. Ha sido modificada para tener en cuenta los cambios tecnológicos y el entorno internacional. Así pues, las empresas tienen ahora la obligación de adoptar todas las medidas necesarias para garantizar que al transmitir información personal a otro estado, los datos tengan una protección de idéntica índole que la que impera en dicho otro estado¹⁰⁴. Esta disposición responde a la internacionalización de los flujos de datos personales en la era de la globalización.

Resumiendo, la revisión de las leyes que protegen la información personal en estos tres sistemas políticos es necesaria, aunque se trate de un proceso complejo debido a la naturaleza delicada de los principios e intereses involucrados.

Los organismos de control - el Defensor del Pueblo de Nuevo Brunswick, la Comisaría de Protección de Datos Personales de Canadá y la Comisión de Acceso a la Información de Quebec - desempeñan un papel preponderante en todas las etapas del control parlamentario de las leyes que garantizan la protección de los datos personales.

Por último, cabe señalar la importancia de la participación en este proceso de la sociedad civil, de los representantes del sector privado como también de los expertos.

5. A MODO DE CONCLUSIÓN PROVISIONAL

La trayectoria de Canadá, Quebec y Nuevo Brunswick en el ámbito de la protección de los datos personales depende tanto de las circunstancias individuales como de una tradición institucional. El establecimiento de las leyes que rigen el acceso a la información y el desarrollo de la informática se perfilan como la tela de fondo de las decisiones adoptadas por el Parlamento de Canadá y las legislaturas de ambos estados federados.

Cada uno de estos tres sistemas políticos ha adoptado su propia normativa. Sus características fundamentales corresponden a las de las leyes establecidas en Occidente hacia mediados de los años 1970. Cada una de las tres leyes aprobadas por Ottawa, Quebec y Fredericton, y los tres organismos de control establecidos en virtud de estas leyes, reflejan una cultura política particular.

Desde su respectiva implantación, estos regímenes normativos han ido desarrollando prácticas que cumplen los principales objetivos de protección de datos personales. Se han ideado procedimientos que los caracterizan, difiriendo unos de otros en algunos aspectos. Resumiendo, estas innovaciones legislativas e institucionales se integran en el modelo confeccionado a los largo de las décadas en ambas esferas.

La adaptación de dichos regímenes a las nuevas condiciones que imperan es probablemente uno de los temas más complejos al que se enfrentan los directivos, los organismos de control y los propios legisladores. Los problemas hallados en la aplicación de estas leyes plantean importantes interrogativas y exigen respuestas y adaptaciones.

La envergadura y la rapidez de los cambios habidos por el desarrollo de las tecnologías de la información se suman para dar aún mayor complejidad al tema de la protección de datos personales. El flujo de datos personales se desarrolla en un contexto en que las fronteras ya no suponen impedimento o restricción alguna. Es parte integrante del fenómeno de la globalización, cuyos efectos son tan numerosos como significativos en lo que se refiere a la protección de datos personales.

¿Cómo hacer frente a los grandes desafíos que se basan, por ejemplo, en el miedo al terrorismo internacional? ¿Cómo conciliar las medidas de seguridad y el respeto de las libertades individuales en las que radican el derecho a la privacidad y la protección de los datos personales? ¿Cómo responder a las exigencias de algunos países, empezando por los EE.UU., que multiplican las solicitudes de información personal, precisamente por motivos de seguridad?

Las cuestiones de género también vienen a sumarse al panorama, ya que muchas se refieren al respeto de los principios básicos que rigen la protección de datos personales. Muchas voces se han pronunciado a favor de la adopción de instrumentos internacionales de carácter vinculante para garantizar una verdadera protección de los datos e informaciones que forman parte de los atributos de cualquier persona.

En el futuro inmediato, algunos estados están siendo presionados por su propia sociedad o más aún por las organizaciones internacionales para adoptar leyes que protejan la información personal. Los políticos, juristas y representantes de la sociedad civil suelen buscar respuestas entre sus propios usos y costumbres. También pueden inspirarse de las experiencias e iniciativas de otros países que los han precedido en este camino, y obrar en función de los resultados que obtuvieron estos últimos.

Desde que Canadá, Quebec y Nuevo Brunswick optaron por cumplir este objetivo, las investigaciones se han ido desarrollando para evaluar mejor la naturaleza de los desafíos. Algunas organizaciones internacionales han definido la base jurídica de los regímenes de protección de datos y se han ido ampliando sus características básicas.

Hace un cuarto de siglo, las "autoridades independientes", según la nueva terminología, se dejaron llevar por la fiebre de la improvisación. Numerosas son las preguntas que surgen inevitablemente cuando se trata de determinar la naturaleza y el alcance de los mandatos encomendados a cualquier organismo de control creado al amparo de este régimen. ¿Debemos otorgarle poderes vinculantes? ¿No es preferible limitar sus poderes a la formulación de recomendaciones, como en el caso de los defensores del pueblo?

Debemos crear un sistema que cubra de un solo trazo el acceso a la información y la protección de los datos personales, siguiendo la pauta europea de estos últimos años?

Examinando los planteamientos seguidos por determinados países e inspirándose de las iniciativas llevadas a cabo en los foros internacionales, los defensores del derecho a la privacidad podrán aportar precedentes y experiencias a la hora de buscar sus propias respuestas. Pueden complementar sus esfuerzos extrayendo ideas del camino recorrido por otros estados. Las diversas tradiciones culturales e institucionales sin duda enriquecerán esta labor intelectual.

6. PAUTAS Y MEDIDAS

Una lectura un poco más detenida de la trayectoria de Canadá, Nuevo Brunswick y Quebec en lo que se refiere a la protección de datos personales permite que se desprendan una serie de ideas o temas que pueden ser útiles para aquellos que estén planteándose la creación de tales sistemas en su propio país.

Basta una sencilla comparación de los modelos ideados por el legislador en cada uno de estos casos para llegar a una constatación inicial. En el sistema federal canadiense coexisten regímenes legislativos ligeramente diferentes, al menos en algunos aspectos. Esto es particularmente cierto en lo que respecta a los tres organismos de control instituidos en Ottawa, Fredericton y Quebec. La naturaleza y el poder de estas tres entidades resultan de elecciones que tienen sus raíces en una cultura corporativa diferente. Estas autoridades o "organismos de control" tienen sin embargo un único y mismo objetivo: velar por el respeto de los principios de la ley y concretar la manera de garantizar un derecho de apelación universal.

En este sentido, y al igual que sucede en otros Estados involucrados en la protección jurídica de los datos personales, un examen comparativo de las leyes e instituciones establecidas por las entidades de la Federación canadiense podrá hacer las veces de laboratorio, por así decir. Este examen ayuda a alinear una serie de sugerencias muy concretas para los responsables políticos, administradores públicos y emisarios de la sociedad civil interesados en este camino. La meta es modesta, ya que sólo pretende aportar su grano de arena al esfuerzo de colaboración llevado a cabo en todos los continentes para asegurar el respeto de este componente esencial de la vida privada que son los datos personales.

Antes de pasar a redactar leyes, parece razonable procurar dar contestación a las preguntas básicas que se plantean para poser identificar los objetivos y modalidades de un posible régimen o sistema de protección de datos personales.

6.1 Cuestiones fundamentales

Cuál debe de ser el objetivo de este régimen?

En términos de datos personales, las definiciones más útiles parecen reducirse al enunciado de lo que caracteriza de un solo trazo a la persona, es decir los datos, números, símbolos y características que distinguen a una persona y permiten identificarla. Claro está que este concepto tiene que matizarse según las particularidades impuestas por el entorno o la sociedad en cuestión. El objetivo es abarcar el mayor terreno posible incorporando este concepto en un enfoque evolutivo que tenga en cuenta los cambios tecnológicos. Además, no parece demasiado relevante describir el concepto con demasiada precisión.

Quién debe someterse a este régimen? ¿Acaso debe abarcar a todos los organismos y empresas que recopilan y utilizan datos personales?

La tendencia general apunta a la subyugación sistemática e inmediata de los sectores público y privado. Ahora bien habrá que contar con circunstancias especiales que aconsejen la sabiduría o la prudencia, y en las que convendrá proceder en dos etapas.

Cómo asegurar la protección de estos datos?

Esta pregunta tiene dos vertientes. Se trata ante todo de idear y de estructurar los principios que permitirán plasmar los objetivos y la finalidad del régimen que se está desarrollando. Luego, estos principios deberán estar en consonancia con las leyes del Estado y cumplir con las expectativas que se hayan convenido en la mayoría de las legislaciones. Habrá que esforzarse por utilizar un lenguaje fácilmente comprensible para el sector público como también para las empresas y organizaciones del sector privado.

6.2 Del principio teórico a las modalidades concretas

El siguiente paso consiste en hacer un inventario de las modalidades concretas que deben adoptarse para garantizar que los datos gozan de la protección necesaria. Dichas modalidades deben dimanar directamente de los principios elegidos y articularse de manera clara y sencilla, sopena de caer en el tecnicismo. Así, por ejemplo, se puede partir del ciclo de vida útil de la información personal para identificar los problemas y soluciones que irán destacándose sucesivamente para la protección de estos datos.

La definición de los principios básicos y el enunciado de las modalidades desde luego pueden apoyarse en la experiencia acumulada en los últimos 35 años o más en que se han ido multiplicando las leyes en este ámbito, primero en Europa Occidental y Norteamérica, y luego en muchos países, repartidos en todo el planeta. Dependiendo de los objetivos, las diferentes leyes pueden fomentar iniciativas que reflejen las realidades y las prácticas del entorno. La experiencia acumulada hasta la fecha aboga por un enfoque comparativo amplio.

Basta una ojeada rápida a las leyes aprobadas en Canadá, Quebec y Nuevo Brunswick para vislumbrar posibilidades interesantes en lo que se refiere a la arquitectura de semejante estructura normativa. Estas leyes se estructuran en torno a cuatro objetivos:

la definición de los derechos conferidos a los ciudadanos o a todas las personas que se beneficiarán de esta ley;
la declaración y explicación de los deberes y responsabilidades de los entes en cuyo poder se encuentran los datos personales;
la creación de un organismo de control que tenga por cometido velar por el cumplimiento de los derechos conferidos a las personas;
les derechos de apelación que se le reconocen a dichas personas

No se puede hacer caso omiso aún hoy de las directrices y pautas diseñadas hace ya más de cuarto de siglo por el Consejo de Europa y la OCDE. Las Directrices sobre laprotecciónde la vida privada y los flujos transfronterizosdedatos de carácter personal, publicadas en 1980 por la OCDE, y el Convenio para laprotección de las personascon respectoaltratamientoautomatizado de datos de carácter personal, conocido como el Convenio 108 del Consejo de Europa, nos obligan a regresar a lo básico, a los mismísimos fundamentos que hacen consenso en el ámbito de la protección de los datos personales. Todo el mundo sale aventajado: las políticas motivadas por el desarrollo de sistemas eficaces y simples; los juristas que buscan leyes "equiparables" o modelos de referencia, y las organizaciones de la sociedad civil en busca de proyectos concretos estimulantes que cumplan sus expectativas.

6.3 Organismos de control

Ni que decir tiene que la estructura jurídica debe de ir supervisada por un órgano de vigilancia que, entre otros mandatos, ofrezca a los ciudadanos un remedio en respuesta a los problemas o conflictos que puedan surgir con los entes que mantienen la información personal en su poder. Este órgano debe reflejar el espíritu que llevó a la estructuración del dispositivo público global. La tendencia mayoritaria apuntaría hacia la vinculación al Parlamento de esta "autoridad independiente", por utilizar el término generalmente aceptado hoy día. La naturaleza de esta autoridad debe concebirse conforme a los objetivos y a los poderes que le serán atribuidos dentro de la administración pública, en sentido amplio, y en relación con el sector público. Las organizaciones establecidas en varios estados, incluyendo Canadá, son un buen ejemplo de este esfuerzo de armonización y de "congruencia", por nombrar el término utilizado en ciencias sociales.

Los tres ejemplos canadienses permiten resaltar una de las cuestiones que siguen alimentando los debates en torno al establecimiento de una agencia u organismo de control. ¿Es mejor confiar en la autoridad moral y el poder de la persuasión como lo han hecho el Parlamento federal de Canadá y la Asamblea Legislativa de Nuevo Brunswick? ¿O, por el contrario, conviene imitar el ejemplo de la Asamblea Nacional de Quebec y conceder a este organismo un poder que le permita emitir ordenanzas que revistan un carácter más o menos vinculante o que obliguen de alguna manera a las entidades públicas o empresas del sector privado que infrinjan los principios, modalidades y requisitos de la ley? ¿Es necesario nombrar a un oficial de control especializado en protección de datos? ¿Cabe separar el concepto de protección de datos del concepto de protección de la transparencia entre las autoridades públicas? ¿Podría encargarse de ambas funciones un oficial que se ocupe del control parlamentario en general, como un Defensor del Pueblo, una Comisión de derechos humanos o un interventor general?

Este organismo de control especial debe por encima de todo gozar de verdadera autonomía, por no decir independencia con respecto a los demás componentes del sistema político y ser percibido como tal. Este tema se ha prestado a una revisión sistemática en diversos foros internacionales desde principios de los años 1990. Los "Principios de París” , aprobados mediante una resolución de la Asamblea General de las Naciones Unidas en 1993, hablan de "Instituciones Nacionales de Promoción y Protección de los Derechos Humanos", que vienen a ser por así decir la piedra angular de las reflexiones posteriores .

Siguiendo por el camino trazado por la ONU, el Consejo de Europa recientemente añadió una disposición específica en un protocolo del Convenio 108. Del mismo modo, la Directiva de 1995, aprobada por la Unión Europea, hizo hincapié en la necesidad de garantizar que las autoridades de control gozaran de "total independencia". La Carta de Derechos Fundamentales de la Unión Europea considera que la concesión de un estatuto de independencia real es un requisito previo para la aplicación de un régimen efectivo de protección de los datos personales.

6.4 Tecnología, globalización y cooperación

Por último, los pasos para crear un sistema de protección de datos personales deben enriquecerse mediante una visión que va más allá de las fronteras y que está abierta al cambio.

Los flujos de la globalización no hacen sino multiplicar el intercambio de información personal. Las multinacionales no conocen fronteras. Los gobiernos invocan criterios de seguridad para obtener mayor información sobre los ciudadanos viajeros. Los regímenes de protección de datos de finales de la década de 2000 deben integrar esta dimensión y procurar evitar en lo posible el impacto sobre el derecho a la intimidad. En este sentido, la labor llevada a cabo durante las reuniones anuales de los dirigentes de los organismos de control ha servido para marcar las pautas y sugerir formas de diálogo internacional que tengan estas tendencias en cuenta.

Los avances tecnológicos, especialmente en el ámbito de la información y de las comunicaciones crean un desbarajuste continuo, sembrando nuevas dudas sobre las certezas del momento. Suponen un auténtico desafío para el mantenimiento de un nivel de respeto palpable en lo que se refiere al derecho a la intimidad. Sin embargo, parece prudente y sensato evitar asociar una legislación a determinada fase del desarrollo tecnológico.

El lanzamiento de la labor jurídica para el establecimiento de regímenes de protección de los datos personales será un tema que inevitablemente figurará en el orden del día de algunos estados. Esto dará pie a la posibilidad de una cooperación y vigilancia activa entre los artesanos de este enfoque y las diversas autoridades de control ya existentes en algunos países de la Francofonía. Podrán surgir proyectos útiles y novedosos de este diálogo y de este ánimo de concertación que apuestan por una comunidad de destino.

Anexo 1

Comisión de Acceso a la Información de Quebec

La Comisión de Acceso a la Información (CAI) es el organismo de control establecido en 1982 por la Ley de acceso a los documentosde losorganismospúblicosy de protección de datos personales. Su misión consiste en resolver los conflictos relativos al acceso a los documentos en poder de organismos públicos o a la información personal en el sector público. Por otra parte, desde la aprobación de la Ley de protección de la información personal en el sectorprivado en 1993, la CAI ejerce las mismas responsabilidades en lo referente a la información personal en el sector privado.

Cuadro 1 - Comisión de Acceso a la Información de Quebec
Datos básicos
Población atendida	7,651,500
Marco administrativo	Un Presidente, encargado de la dirección y de los asuntos de la Comisión, que cuenta con la ayuda de al menos cuatro Comisarios y un Secretario..
Leyes administradas	Ley de acceso a los documentos de los organismos públicos y de protección de datos personales (L.R.Q., capítulo A-2.1) Ley de protección de la información personal en el sector privado (L.R.Q., c. P-39.1) Partes del Código Civil de Quebec, artículos 35 al 41 (L.Q., 1991, c. 64). Y algunas otras leyes sectoriales.

**Cuadro 2 - Cometidos de la Comisión de Acceso a la Información de Quebec**
Cometido	Descripción
Función jurisdiccional	Estudiar las solicitudes presentadas en virtud de la Ley de acceso a la información y las peticiones de examen de discrepancias con respecto a la Ley de protección de la información personal en el sector privado; emitir un fallo vinculante al cabo de una revisión independiente y la correspondiente audiencia, pudiendo apelarse ante el Tribunal de Quebec cualquier cuestión de derecho o de competencia relativo a dicho fallo; encomendar a uno de sus mediadores la misión de tratar de acercar a las partes a un acuerdo.
Vigilancia	Vigilar el respeto y la promoción de la Ley de acceso a los documentos de los organismos públicos y de protección de datos personales y de la Ley de protección de la información personal en el sector privado; poder, por sí sola o como consecuencia de una petición o queja en este sentido, indagar sobre la aplicación y observación de sendas leyes; poder, al término de una investigación, emitir una orden o presentar unas recomendaciones; autorizar a una persona o a un organismo a recibir datos personales sin el consentimiento de las personas interesadas para fines de estudio, de investigación o con fines estadísticos; opinar sobre proyectos de acuerdo relativos a la transferencia de información personal y establecer las normas para el mantenimiento del registro de comunicación de datos personales.
Asesoramiento	Opinar, a petición del ministro responsable de estas dos leyes, sobre los proyectos de ley y los reglamentos que atañen el acceso a la información o la protección de la información personal; promover la transparencia y la aplicación de la ley en lo referente a la difusión, en los sitios Web, de los datos o documentos cuyo acceso está previsto en la ley.
Concienciación	Organizar conferencias sobre la transparencia y el respeto a la privacidad; informar al público sobre las leyes y las cuestiones relativas al acceso a la información y a la protección de datos; participar en eventos en los que estén implicados sistemas (como la biometría y la vigilancia mediante cámaras) que afectan a la protección de la información personal.

**Cuadro 3 - Comisión de Acceso a la Información de Quebec**
**Datos (2007-2008)**
Datos
Población	7.651.500 habitantes
Presupuesto total (sin contar el alquiler)	$3,362,370
por cada millón de habitantes	$439,439
Total F.T.E.Empleados en plantilla	44.5
Número de empleados por cada millón de habitantes	5.8
Número de expedientes resueltos	1,933
por cada millón de habitantes	253
acceso a la información	547 (28%)
protección de los datos personales	1,342 (69%)
areas of intervention not identifieprotección de los datos personales	44
sector público	1343 (69%)
sector privado	569 (29%)
sector no identificado	21

Anexo 2

Comisaría de Protección de Datos Personales de Canadá

En su calidad de Defensor del Pueblo y educador, el Comisario o en este caso, la Comisaria, desempeña desde 1977 un papel fundamental en la aplicación de las leyes canadienses relacionadas con el derecho a la protección de los datos personales.
La Comisaria recibe la ayuda de dos Comisarios adjuntos y responde a las denuncias de los ciudadanos sobre el sector público federal (Ley de protección de la información personal - 1982), y del sector privado (Ley de protección de la información personal y los documentos electrónicos - 2000). Normalmente, la resolución de estos casos se lleva a cabo mediante la negociación y la conciliación, pero en caso de no prosperar, también pueden someterse al Tribunal Federal. La Comisaria tiende cada vez más a actuar como autoridad interina en las provincias cuya legislación aún no proporciona los elementos necesarios para la protección de los datos personales en el sector privado.

Cuadro 1 - Comisaría de Protección de Datos Personales de Canadá
Datos básicos
Población atendida	33.311.400 habitantes
Marco administrativo	Una Comisaria y dos Comisarios adjuntos - uno para la aplicación de la ley que rige el sector público (LPRP), el otro para la ley que rige el sector privado (LPRPDE). Se establece asimismo un Comité Consultivo Externo.
Leyes administradas	Ley de protección de la información personal (L.R., 1985, capítulo P-21) - Sector público. Ley de protección de la información personal y los documentos electrónicos (2000, capítulo 5) - Sector privado.

**Cuadro 2 - Cometidos de la Comisaria de Protección de Datos Personales de Canadá**
Cometido	Descripción
Defensa de los derechos	Investigar las denuncias presentadas por los ciudadanos, así como los incidentes ligados a la protección de datos personales; actuar como mediadora entre los denunciantes y los organismos; formular recomendaciones; representar ante los tribunales superiores a la Comisaría y/o a los ciudadanos en los litigios.
Vigilancia	Llevar a cabo estudios y auditorías de organizaciones para evaluar el cumplimiento de las leyes; examinar los informes "Evaluación de los factores relativos a la protección de los datos personales" (Privacy Impact Assessment) que le son sometidos para identificar riesgos que pudieran atentar contra el derecho a la privacidad.
Asesoramiento	Llevar a cabo investigaciones sobre cuestiones relativas a la protección de los datos personales y el uso de las nuevas TIC; actuar como asesora en el Parlamento Federal, en particular en el Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética; ocuparse de las consultas dirigidas a los ministerios y organismos e intervenir ante las comisiones parlamentarias; cooperar con países extranjeros.
Concienciación	Desde un punto de vista pedagógico, centrarse en la prestación de asesoramiento estratégico y en concientizar a la sociedad.

**Cuadro 3 - Comisaría de Protección de Datos Personales de Canadá**
**Datos (2007-2008)**
Datos
Población	33.311.400 habitantes
Presupuesto total	17.130.181 $
por cada millón de habitantes	514.244 $
Empleados en plantilla	110
número de empleados por cada millón de habitantes	3.3
Número de expedientes resueltos	1300
por cada millón de habitantes	39
para el sector público	880 (67,7%)
para el sector privado	420 (32,3%)

Anexo 3

Oficina del Defensor del Pueblo de Nuevo Brunswick

El Defensor del Pueblo de Nuevo Brunswick es un funcionario independiente de la Asamblea Legislativa, y es la autoridad que, en virtud de la Ley del derecho a la información de 1978 y de la Ley de protección de la información personal de 2001, estudia las quejas relativas al acceso a la información y a la protección de la información personal. Estas denuncias pueden concernir a los ministerios, distritos escolares, asociaciones hospitalarias, municipios y otros organismos del gobierno.

El Defensor del Pueblo puede llevar a cabo investigaciones y revisiones independientes frente a una negativa por parte de un ministerio o del gobierno a divulgar públicamente determinada información. Dichas revisiones se llevan a cabo en privado. El Defensor del Pueblo tiene la facultad de formular recomendaciones, pero no puede emitir órdenes vinculantes.

Nuevo Brunswick no dispone de una ley para regular la protección de la información personal en el sector privado. La Ley de protección de la información personal y los documentos electrónicos, promulgada por el Parlamento federal, se aplica por lo tanto a todas las organizaciones comerciales y privadas de la provincia.

Cuadro 1 - Oficina del Defensor del Pueblo de Nuevo Brunswick
Datos básicos
Población atendida	729.997 habitantes
Marco administrativo	Un Defensor del Pueblo, que se erige asimismo como Defensor de la infancia y de la juventud, rodeado de un equipo de investigadores y asesores jurídicos..
eyes administradas	Ley del derecho a la información - 1978 Ley de protección de la información personal - 2001

Cuadro 2 - Cometidos de la Oficina del Defensor del Pueblo de Nuevo Brunswick
Cometido	Descripción
Defensa de los derechos	Investigar las quejas presentadas por los ciudadanos, así como aquellas relacionadas con incidentes relativos al acceso a la información o a la protección de los datos personales; formular recomendaciones; representar al ciudadano en los litigios ante los tribunales superiores.
Asesoramiento	Llevar a cabo investigaciones sobre asuntos relativos al acceso a la información y a la protección de los datos personales; apoyar la formulación de políticas del gobierno.
Concienciación	Insistir en la prevención mediante una página Web que contiene toda clase de informaciones: guías, informes, estadísticas.

Cuadro 3 - Oficina del Defensor del Pueblo de Nuevo Brunswick Datos (2007-2008)
Datos
Población	729.997 habitantes
Presupuesto total	1.315.000$
por cada millón de habitantes	1.801.377$
Empleados en plantilla	13 personas, dos de ellas a tiempo parcial
Número de empleados por cada millón de habitantes	17.3
Número de expedientes resueltos	98
por cada millón de habitantes	134,2
Acceso a la información	57
Protección de datos	41

Fuentes bibliográficas

Nuevo Brunswick

Bernard Richard, Defensor del Pueblo (2007) - Un regard profond et neuf: Propositions pour un code sur les droits à l’information et à la protection des renseignements personnels pour le Nouveau-Brunswick (Mémoire soumis au groupe de travail sur la révision du droit à l’information et la protection des renseignements personnels) [Una mirada profunda y nueva: propuestas para un código sobre los derechos a la información y a la protección de la información personal para Nuevo Brunswick (Una presentación al grupo de trabajo sobre la revisión del derecho a la información y la protección de la información personal], Fredericton: 35 páginas.

Oficina del Defensor del Pueblo (2008) - Enquête sur la perte des renseignements personnels par le Ministère de la Santé - Cartouches des données de facturation de l’assurance-maladie [Investigación sobre la pérdida de datos personales por parte del Ministerio de Salud - Cintas conteniendo datos de facturación del seguro médico], Fredericton: NBPPIA - 2008 -01, 14 páginas.

Grupo de trabajo del gobierno de Nuevo Brunswick sobre el intercambio de datos y la protección de la información personal (1994) - La protection de la vie privée dans un contexte de partage de l’information: Rapport du Groupe de Travail du Gouvernement du Nouveau Brunswick sur le partage des données et la protection des renseignements personnels [La protección de la vida privada en un contexto de información compartida: informe del grupo de trabajo del gobierno de Nuevo Brunswick sobre el intercambio de datos y la protección de la información personal], Fredericton.

Grupo de trabajo encargado de la revisión del derecho a la información y la protección de los datos personales (2007) - Rapport final sur la révision du droit à l’information et de la protection des renseignements personnels [Informe final sobre la revisión del derecho a la información y la protección de los datos personales], Fredericton: 52 páginas.

Nuevo Brunswick (1998) - Loi sur la protection des renseignements personnels [Ley de protección de la información personal], Cápitulo P-19.1.

Canadá

Cámara de los Comunes, Canadá (2007) - Examen prévu par la loi, de la Loi sur la protection des renseignements personnels et les documents électroniques (Quatrième rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique) [Revisión prevista por la ley, de la Ley de protección de la información personal y los documentos electrónicos (cuarto informe del Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética)], Ottawa, 76 páginas.

Colin J. Benett (1990) - “The formation of a Canadian privacy policy: the art and craft of lesson-drawing” [“El desarrollo de una política canadiense sobre el derecho a la intimidad: cómo aprovechar las lecciones del pasado”]), Administration publique du Canada [Administración pública de Canadá], vol 33, nº 4 (Invierno), pp. 551- 570.

Colin J. Benett (2003) - “The Privacy Commissioner of Canada: Multiples roles, diverse expectations and structural dilemmas” [“Comisaría de Protección de Datos Personales de Canadá: múltiples funciones, expectativas varias y dilemas estructurales”], Revue d’administration publique du Canada [Revista de la administración pública de Canadá], vol.46, No. 2 (Verano)

Comisaría de Protección de Datos Personales de Canadá (2008) - Tracer le chemin (Principaux développements au cours des sept premières années d’application de la Loi sur la protection des renseignements personnels et les documents électroniques [Trazar el camino: principales desarrollos en los últimos siete años de aplicación de la Ley de protección de la información personal y los documentos electrónicos], Ottawa, 69 páginas.

Comisaría de Protección de Datos Personales de Canadá (2008) - Modifications immédiates proposées à l’égard de la Loi sur la protection des renseignements personnels et les documents électroniques (Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique) [Modificaciones inmediatas propuestas en relación a la Ley de protección de la información personal y los documentos electrónicos (Comparecencia ante el Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética]), Ottawa, 31 páginas.

Comisaría de Protección de Datos Personales de Canadá (2008) - Vie privée- Rapport de vérification de la Commissaire à la protection de la vie privée du Canada - Examen des fichiers inconsultables de la GRC- Article 36 de la loi sur la protection des renseignements personnels [Vida privada- Informe de auditoría de la Comisaria de Protección de Datos Personales de Canadá - Revisión de los ficheros inconsultables de la Real Policía Montada de Canadá- Artículo 36 de la Ley de protección de los datos personales], Ottawa, 43 páginas.

David FLAHERTY (1989) - Protecting Privacy in Surveillance Societies: The Federal Republic of Germany, Sweden, France, Canada and the United States [Protección del derecho a la intimidad en las sociedades que practican la vigilancia: República Federal de Alemania, Francia, Canadá y Estados Unidos], Chapel Hill, Ediciones University of North Carolina.

Gobierno de Canadá (2008) - Réponse du Gouvernement au Quatrième rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (Examen prévu par la loi, de la Loi sur la protection des renseignements personnels et des documents électroniques) [Respuesta del gobierno al Cuarto informe del Comité Permanente sobre Acceso a la Información, Protección de Datos Personales y Ética (Revisión prevista por la ley, Ley de protección de la información personal y los documentos electrónicos)]: Ottawa, 12 páginas.

Stéphanie Perrin, Heather H. Black, David H. Flaherty y T. Rankin (2001) - The Personal information Protection and Electronic Documents Act: An Annoted Guide [Ley de protección de la información personal y los documentos electrónicos: guía completa], Toronto, Irwin Law.

Quebec

Paul-André Comeau y Maurice Couture (2003) - “Accès à l’information et protection des renseignements personnels: le précédent québécois” [“Acceso a la información y protección de los datos personales: el precedente quebequés”], Administration publique du Canada [Administración pública de Canadá], vol 46, nº 3, otoño: páginas 364 - 389.

Comisión de Acceso a la Información de Quebec (1992) - Un passé éloquent, un avenir à protéger (Rapport sur la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels) [Un pasado elocuente, un futuro por proteger (Informe sobre la aplicación de la Ley de acceso a los documentos de los organismos públicos y la protección de datos personales)], Quebec: 49 páginas.

Comisión de Acceso a la Información de Quebec (1997) - Vie privée et transparence administrative au tournant du siècle (Rapport sur la mise en œuvre de la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé) [Vida privada y transparencia administrativa a principios de siglo (Informe sobre la aplicación de la Ley de acceso a los documentos de los organismos públicos y la protección de datos personales y de la Ley de protección de la información personal en el sector privado)], Quebec, 169 páginas.

Comisión de Acceso a la Información de Quebec (2002) - Une réforme de l’accès à l’information: le choix de la transparence (Rapport sur la mise en œuvre de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé) [Una reforma del acceso a la información: Optando por la transparencia (Informe sobre la aplicación de la Ley de acceso a los documentos de los organismos públicos y la protección de datos personales y de la Ley de protección de la información personal en el sector privado]), Quebec: 184 páginas y anexos.

Raymond Doray, François Charrette (2001) - Accès à l’information - loi annotée, jurisprudence, analyse et commentaires [Acceso a la información - ley comentada, jurisprudencia, análisis y comentarios], Montreal, Ediciones Yvon Blais: 2314 páginas (2 vol.).

Lukasz Granosik (2008) - Loi sur la protection des renseignements personnels dans le secteur privé (Édition annotée - Législation, jurisprudence) [Ley de protección de la información personal en el sector privado (Edición comentada - Legislación, jurisprudencia)], Montreal, Ediciones Yvon Blais: 196 páginas.

Quebec (provincias) Comisión de estudio sobre el acceso del ciudadano a la información gubernamental y sobre la protección de la información personal (1981) - Information et liberté [Información y libertad], Quebec: 225 páginas. (Conocido bajo el nombre de Rapport Paré).

Asamblea Nacional - Quebec - Comisión de Cultura (2004) - Observations, conclusions et recommandations à la suite de la consultation générale et des auditions publiques à l’égard du document intitulé “Une réforme de l’accès à l’information: le choix de la transparence” [Observaciones, conclusiones y recomendaciones tras la consulta general y las audiencias públicas relativas al documento titulado ”Una reforma del acceso a la información: Optando por la transparencia”], Quebec, 43 páginas.

1 Investigación sobre la pérdida de datos personales por el Ministerio de Salud - Cintas conteniendo datos sobre facturación del seguro médico, abril 2008: 14 páginas. Referencia: NBPPIA - 2008 - 01.

2 Caso Boudreau c. Maison de la famille DVS, Commission d’accès à l’information (C.A.I.), 04 12 89, SOQUIJ AZ-50339620.

3 Estos sistemas, que se basan en la búsqueda de transparencia administrativa, atañen a los documentos que conservan los diversos componentes del mecanismo político. La expresión "acceso a la información", que ya ha quedado consagrada, ha sido calcada del inglés "freedom of information".

4 Consejo de Europa, Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, 28 de enero de 1981, S.T.E. 108.

5 Organización para la Cooperación y el Desarrollo económicos, Directrices de la OCDE sobre la protección de la intimidad y los flujos transfronterizos de datos de carácter personal, 23 de septiembre de 1980.

6 Ministerio de Comunicaciones y Ministerio de Justicia, L'ordinateur et la vie privée : Rapport du Groupe d'étude, Ottawa, Información Canadá, 1972.

7 Loi canadienne sur les droits de la personne (Canadian Human Rights Act en inglés), L.R.C. 1985, c. H-6.

8 Loi sur la protection des renseignements personnels (Privacy Act en inglés), L.R.C. 1985, c. P-21

9 Ibid

10 Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. A-2.1.

11 Art. 35 á 41 C.c.Q.

12 Charte des droits et libertés de la personne, L.R.Q. c. C-12. , R.S.Q., c. C-12.

13 CE, Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, [1995] J.O.L. 281/31.

14 Ley de protección de la información personal en el sector privado, L.R.Q. c. P-39.1

15 Loi sur la protection des renseignements personnels et les documents électroniques, L.R.C. 2000, c. P-8.6

16 Personal Information Protection Act, S.A. 2003, c. P-6.5.

17 Personal Information Protection Act, S.B.C. 2003, c. 63.

18 Grupo de trabajo del gobierno de Nuevo Brunswick sobre el intercambio de datos y la protección de la información personal (1994) - Informe titulado : La protection de la vie privée dans un contexte de partage de l'information : Rapport du groupe de travail du Gouvernement du Nouveau-Brunswick sur le partage des données et la protection des renseignements personnels, Fredericton.

19 Loi sur la protection des renseignements personnels, L.N.-B. 1998, c. P-19.1.

20 Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1

21 Ibid., art. 54.

22 Ibid., s. 168.

23 Charte des droits et libertés de la personne, L.R.Q. c. C-12

24 Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, supra nota 20, art. 3 á 7.

25 Ibid., especialmente los arts. 64 y 72.

26 Ibid., art. 63.1 y 63.2.

27 Ibid., art. 65.1.

28 bid., art. 64 á 70.

29 Ibid., art. 73.

30 Ibid., art. 83 y ss.

31 Ibid., art. 80 á 82 y 86.

32 Ibid., art. 89 y ss.

33 Ibid., art. 134.2.

34 Loi sur la protection des renseignements personnels, L.R.C. 1985, c. P-21.

35 Ibid., art. 3, s.v. "renseignement personnel".

36 Ibid., s.v. "institution fédérale"; véase también el anexo, Ibid.

37 Ibid., art. 4 á 6.

38 Ibid., art. 12.

39 Ibid., art. 8(2)(g).

40 Ibid., art. 18.

41 Ibid., art. 29 a 35.

42 Art. 35 a 41 C.c.Q.

43 Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. c. P-39.1.

44 Organización para la Cooperación y el Desarrollo Económicos, Directrices de la OCDE sobre la protección de la vida privada y los flujos transfronterizos de datos de carácter personal, 23 de septiembre de 1980.

45 Loi sur la protection des renseignements personnels dans le secteur privé, supra nota 43, art. 2.

46 Ibid., art. 27 y ss.; véase también el art. 1525, al. 3 C.c.Q.

47 Art. 1525, al. 3 C.c.Q.

48 Loi sur la protection des renseignements personnels dans le secteur privé, supra nota 43, art. 17.

49 Ibid., s. 27 and ss.; see also art. 1525, para. 3, C.C.Q.

50 Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, supra nota 20, art. 134.2.

51 Loi sur la protection des renseignements personnels et les documents électroniques, L.R.C. 2000, c. P-8.6.

52 Ibid., art. 2, s.v. "renseignement personnel" y "renseignement personnel sur la santé".

53 Ibid., parte 2; véase por ejemplo el art. 31.

54 Esta decisión fue por cierto motivo de una instancia presentada por el gobierno de Quebec ante el Tribunal de Apelación de Quebec. Para resumirlo brevemente, el gobierno de Quebec alegó que se trataba de una injerencia por parte del gobierno federal en un campo de competencia que le correspondía exclusivamente a Quebec y que le pertenecía a la Asamblea Nacional legislar en materia de protección de datos personales, ya que se trataba de un asunto de derecho civil.

55 Loi sur la protection des renseignements personnels et les documents électroniques, supra nota 51, art. 4; De hecho, la ley federal se aplica a las entidades bajo jurisdicción federal de acuerdo con lo dispuesto por el art

Date modified:: 2011-10-13