Régimen legal concerniente a los datos biométricos a partir de la nueva Ley núm. 4-23, Orgánica de los Actos del Estado Civil.
Por Brianda María Mercedes Trujillo Florez-Estrada
El pasado 18 de enero, se promulgó la nueva Ley núm. 4-23, Orgánica de los Actos del Estado Civil. La entrada en vigencia de esta novedosa pieza legislativa ha generado múltiples cuestionamientos en distintos sectores de la sociedad. Y, uno de los temas que salta a la vista es la atribución exclusiva otorgada a la Junta Central Electoral (JCE) para recaudar, almacenar, tratar y procesar los datos biométricos de las personas, «[…]los cuales se harán de la manera determinada por los reglamentos de aplicación subsiguientes a esta ley»[1].
De hecho, el art. 216, sección II, referente a las disposiciones transitorias de la indicada Ley núm. 4-23, le otorga un plazo de 60 días contados a partir de la entrada en vigencia de esa ley a las distintas instituciones (públicas y privadas) que se dedican a la recaudación de datos biométricos o que cuenten con bancos de datos de esta naturaleza, con el fin de que dichos registros sean eliminados[2]. Por tanto, aquellas entidades públicas y privadas que, obteniendo el consentimiento expreso de cada titular de información biométrica registrada; o, que hayan adquirido dicha información personal en cumplimiento con una normativa específica, se verían obligados a suprimir sus bancos de datos biométricos.
Si bien la Ley núm. 4-23 no establece sanciones por el incumplimiento de sus disposiciones, el art. 59 de dicha legislación le otorga potestad reglamentaria al Pleno de la JCE, en materia de protección de datos biométricos, para establecer los mecanismos necesarios tendentes a hacer cumplir la ley. Por tanto, a través de la emisión de un reglamento podrían establecerse las correspondientes sanciones por el incumplimiento de cualquier mandato establecido en la Ley núm. 4-23.
Antes de proceder con el análisis del nuevo régimen legal, relativo a la protección de los datos biométricos, previsto en la nueva Ley núm. 4-23, conviene referirnos a los conceptos de biometría y datos biométricos plasmados en los numerales 6) y 10), del art. 6 de la aludida norma. De acuerdo con el legislador dominicano, la biometría es el «[u]so automatizado de características fisiológicas o de conductas para determinar o verificar la identidad de las personas. La biometría fisiológica está basada en datos de la medición directa de algún rasgo del cuerpo humano, sea el iris, la cara o la impresión dactilar». Además, se conceptualizan los datos biométricos como aquellas «[…] propiedades físicas, fisiológicas, de comportamiento rasgos de la persona, atribuibles a una sola persona y que son medibles; dichos datos son obtenidos a partir de un proceso biométrico, el cual comprende observaciones preliminares, muestras biométricas, modelos, planillas y valoraciones o comparaciones. Los datos biométricos son empleados para describir la información recolectadas durante un enrolamiento, verificación o identificación de procesos».
De las definiciones anteriormente citadas, puede colegirse que los datos biométricos permiten identificar y autenticar de manera certera a una persona determinada en cualquier momento sobre la base de una fisiología propia y permanente en el tiempo. Al respecto, conviene destacar que la Ley núm. 172-13[3], no establece una definición expresa sobre datos biométricos o biometría. Sin embargo, en su art. 6.9, establece que los datos de carácter personal constituyen «[c]ualquier tipo de información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables». También, el art. 6.31 de la aludida legislación prescribe que los datos sensibles son aquellos «[d]atos personales que revelan las opiniones políticas, las convicciones religiosas, filosóficas o morales, la afiliación sindical e información referente a la salud o a la vida sexual».
Como puede apreciarse, la referida Ley núm. 172-13, a diferencia de otras leyes sobre protección de datos personales de la región, no catalogaba los rasgos fisiológicos de una persona física identificable como información personal sensible. A pesar de esta omisión legislativa, nuestro Tribunal Constitucional, por medio de la Sentencia TC/0042/12, extendió el alcance de la protección otorgada a la información personal sensible a las características personales y las condiciones de salud de una persona física. En ese tenor, la Alta Corte dispuso que «[l]os nombres y apellidos de un individuo, aunque constituyen un medio para identificarlo como persona, no son datos que afectan a la esfera más íntima de su titular, ni consideradas informaciones personales sensibles, como sí lo serían, por ejemplo, las cuestiones ideológicas, las características personales[4], las condiciones de salud, la orientación sexual y el origen». Por tanto, a partir de la aludida decisión[5], las características personales de una persona constituyen información personal sensible[6].
Volviendo al análisis de la actual Ley núm. 4-23, conviene señalar que, en lo adelante, la Junta Central Electoral (JCE) será la institución encargada de manera exclusiva de recaudar, almacenar, tratar, procesar y autenticar los datos biométricos de todos los dominicanos[7]. Asimismo, se establece que la JCE proveerá sus servicios de autenticación y certificación de identidad a todas las entidades públicas y privadas que así lo requieran. Sin embargo, en el art. 56 de la referida ley núm. 4-23, se establece que la prestación de ese tipo de servicios proveídos por la JCE a esas instituciones públicas o privadas no implica la transferencia parcial o total de los datos o fichas de su registro.
De la aplicación de este nuevo régimen legal de protección de datos biométricos, resultarían afectadas distintas instituciones públicas que, al día de hoy, han recaudado una cantidad considerable de datos biométricos, no solo de los dominicanos, sino también de los extranjeros. Al respecto, nos referiremos específicamente a la Procuraduría General de la República, el Ministerio de Interior y Policía, así como la Dirección General de Migración (a través de la Dirección General de Pasaportes). La primera de estas instituciones, según informaciones publicadas en distintos periódicos de circulación nacional, inició un proceso de recaudación de datos biométricos en el 2020 con el fin de recaudar la información necesaria para registrar a los reclusos que serían trasladados a la nueva cárcel de La Victoria[8].
En otro orden, el Ministerio de Interior y Policía cuenta con su propio banco de datos biométricos desde el 2016; pues, el literal j) del art. 14 de la Ley núm. 631-16[9], para el Control y Regulación de Armas, Municiones y Materiales, establece como requisito imprescindible para la tenencia y porte de armas de fuego la captura de datos biométricos del titular del arma de fuego ante esa entidad. Por tanto, aquellas personas que en la actualidad poseen licencia de porte y tenencia de armas en el país, necesariamente, deben registrar sus datos biométricos ante esa institución pública.
De otro lado, la Dirección General de Migración también resultaría perjudicada con la aplicación de esta nueva legislación, toda vez que, en virtud de lo dispuesto en la Ley núm. 285-04, General de Migración, esta institución tiene el deber de captar los datos biométricos de los residentes temporales, trabajadores temporeros, habitantes fronterizos de comunidades fronterizas, así como de todo extranjero admitido legalmente en cualquiera de las categorías migratorias previstas en la ley. De igual forma, por medio del Decreto núm. 438-22, de 9 de agosto de 2022, el actual presidente de la República autorizó a esa entidad migratoria a agotar los pasos necesarios para implementar el pasaporte electrónico en el país. En tal sentido, por medio del mencionado decreto núm. 438-22, se declaró de alto interés nacional «[…] la implementación del pasaporte de lectura electrónica en el país, como documento de viaje que contiene un circuito encriptado y elementos biométricos para autenticar la identidad y ciudadanía del titular». De manera que, los dominicanos que hayan adquirido su pasaporte para viajar al extranjero, a partir del 2022 (año en que se emite el aludido decreto), han tenido que registrar sus datos biométricos ante la entidad migratoria correspondiente.
En cuanto a la necesidad de que otras instituciones públicas (además de la JCE), cuenten con un banco de datos biométricos para fines de registro, transparencia y eficiencia en su gestión, el magistrado presidente de la Suprema Corte de Justicia, Luis Henry Molina Peña, se pronunció en días pasados a través de los distintos diarios de circulación nacional. En concreto, el referido magistrado advirtió al país sobre la necesidad de crear un registro de datos biométricos concerniente a cada persona privada de libertad con el fin de monitorear el expediente de cada uno de estos individuos y así poder llevar a cabo un seguimiento más transparente y minucioso de su caso ¾considerando el tipo de medida judicial impuesta, la reincidencia en el delito, el cumplimiento de la condena, la duplicidad en los registros carcelarios, entre otras informaciones necesarias¾ para garantizar la tutela de los derechos de los reclusos, evitar injusticias y promover el descongestionamiento de los distintos recintos carcelarios del país ocupados en su mayor parte por presos preventivos heredados «[…] del sistema inquisitorio de toda América Latina y Europa»[10]. Y no es casualidad la sugerencia planteada por el magistrado presidente de la Suprema Corte de Justicia; pues, el art. 44.4 de nuestro Pacto Fundamental les otorga expresamente a las autoridades encargadas de la prevención, persecución y castigo del crimen, el manejo, uso o tratamiento de datos e informaciones de carácter oficial que recaben las autoridades.
Sin embargo, con la promulgación de la nueva Ley núm. 4-23, esta moción del magistrado Luis Henry Molina tendría que sujetarse al criterio discrecional de lo que la JCE considere como «fines legítimos del cesionario»[11]. Pues, solo bajo esta última condición y el consentimiento del titular de la información biométrica captada, la JCE podrá ceder a otras instituciones públicas los datos biométricos que vaya recaudando sobre la marcha. En cuanto a esta última regla, la aludida legislación prevé excepciones concernientes a los casos en los cuales no se requerirá el consentimiento del titular de los datos biométricos para ser transferidos a otras entidades, a saber: i) Cuando «[…] la cesión esté autorizada en una ley[…]» ; ii) en aquellos casos en que «[…] la cesión se derive de una relación contractual del titular de los datos y sea la consecuencia de un contrato, cuyo desarrollo, cumplimiento y control requiera la transferencia de los datos a terceros. En este caso, la cesión será legitima en la medida en que se limite a la finalidad que le sirve de causa[…]»; y iii) cuando la cesión se produzca «[…]entre órganos del Estado, en el ejercicio de sus funciones y atribuciones y el tratamiento de los datos tenga fines históricos, estadísticos o científicos[12]».
En el art. 57 de la Ley núm. 4-23, cuyo contenido ha sido citado previamente, también se establece una condición para la validez de las cesiones de datos biométricos que sean realizadas a través de un contrato. Al respecto, se establece que este tipo de acuerdos deben establecer expresamente que la recolección de los datos del titular haya sido realizada para fines de cesión. Así pues, deberá informársele al propietario de los datos biométricos −antes que se produzca la transferencia de su información personal a otra entidad−, la finalidad a la cual serán destinados sus datos o el tipo de actividad de aquel a quien se le pretenden ceder.
De no considerar que se cumplen las condiciones anteriormente mencionadas, la JCE podrá negarse a transferir los datos biométricos a otras instituciones públicas y privadas manteniendo la exclusividad en su recaudación, tratamiento y certificación. En consecuencia, a nuestro juicio, esta situación podría obstaculizar el desarrollo de nuevas políticas institucionales tendentes a eficientizar la función pública y promover la transparencia, tomando en consideración que estas instituciones dependerán del manejo eficiente de la JCE en esta materia. Asimismo, convendría ponderar el efecto retroactivo establecido en esta nueva ley, al ordenar la eliminación de todos los bancos de datos biométricos existentes en las distintas entidades públicas y privadas. Pues, si bien no menciona una derogación expresa de disposiciones legales anteriores, referentes al deber de recaudación de información biométrica, sí establece una obligación de hacer contraria a lo previsto en legislaciones anteriores. En tal sentido, convendría evaluar los efectos jurídicos que este nuevo régimen de protección de datos biométricos podría ocasionar en detrimento de los regímenes legales preestablecidos bajo los cuales se encuentran operando distintas instituciones del Estado y empresas privadas.
Por otra parte, importa subrayar que, no solo el sector público resultaría afectado con esta nueva ley sino también el sector privado. Nos referimos, específicamente a las sociedades que contienen en la actualidad un banco de datos biométricos que constituye el instrumento esencial de su operación diaria para fines de identificación y autenticación de las personas. Pues, estas entidades también se verían obligadas a suprimir los bancos de datos biométricos que tengan en su poder, además de no poder ofrecer este servicio a las demás entidades públicas y privadas del Estado. Pues, conforme a lo previsto en el párrafo capital del art. 61 de la aludida Ley núm. 4-23, la JCE, además de detentar la exclusividad en la recaudación y registro de datos biométricos, la institución electoral será la única encargada de proporcionar los medios para la verificación de la identidad de las personas mediante consultas de datos biométricos a las instituciones de índole pública o privada.
Sobre esta cuestión, conviene traer a colación un debate importante llevado a cabo en el año 2020, en Colombia, luego del sometimiento ante el Congreso de esa nación de un proyecto de Ley de Código Electoral, a través del cual se pretendía otorgar a la Registraduría Nacional del Estado Civil de ese país la función exclusiva de recaudar, registrar, acceder, tratar y autenticar los datos biométricos de los colombianos[13]. Esta última disposición fue interpretada por muchos colombianos como una intención de legitimar una especie de monopolio en favor de una entidad pública; pues, la ley no limitaba su aplicación al ámbito electoral, sino que le otorgaba esa potestad a nivel general.
La discusión de dicho proyecto de ley en Colombia produjo reacciones adversas en el sector privado empresarial de ese país, específicamente en aquellos empresarios dedicados a proveer servicios de autenticación biométrica. De las reclamaciones más relevantes externadas por esta parte del sector empresarial colombiano, puede destacarse la relativa al hecho de que «[l]a Registraduría Nacional, de quedar en firme esta ley, no se encargaría únicamente de realizar la identificación de un ciudadano en términos electorales, sino que le daría la potestad de controlar la autenticación de datos biométricos en todos los escenarios, en los casos en que se requiera[14]». En pocas palabras, las empresas afectadas por la posible aprobación definitiva de ese proyecto de ley tendrían que abandonar su negocio de autenticación de datos biométricos e incursionar en otros servicios comerciales.
A raíz de esta situación, un grupo de empresarios canalizó un control de constitucionalidad de esa propuesta legislativa ante la Corte Constitucional colombiana con el fin de que esa Alta Corte determinase si el nuevo Código Electoral adolecía de vicios de inconstitucionalidad. En respuesta a esta petición, la Corte colombiana se pronunció sin conocer las pretensiones de fondo alegadas por los reclamantes. O sea, declaró la inconstitucionalidad del proyecto de ley fundándose en los vicios de forma que este último contenía, en cuanto al proceso de sometimiento y discusión del mismo ante el Congreso colombiano. Sin embargo, la Corte no se pronunció sobre los demás alegatos planteados por los empresarios, referentes a las presuntas violaciones a sus derechos fundamentales a la libertad de empresa y de competencia[15].
Lo interesante del proceso previamente abordado es que el mismo nos sirve como referente para nutrir nuestra futura experiencia y las posibles consecuencias que podría traer consigo la entrada en vigencia y aplicación de los arts.56,57,58,59, 60, 61, 62 y 216 de la nueva Ley núm. 4-23, Orgánica de los Actos del Estado Civil. En Colombia, una vez fue sometido el proyecto de ley de Código Electoral y establecerse la exclusividad del registro y tratamiento exclusivo de los datos biométricos en favor de la Registraduría Nacional del Estado Civil; los bancos, empresas de telefonía y las distintas cámaras de comercio empezaron a protestar invocando violaciones a diversos principios y derechos constitucionales. En la actualidad, el proyecto de ley que establece el Código Electoral en el país colombiano, a pesar de haber sido aprobado en el 2020, fue declarado inexequible por la Corte Constitucional de ese país por vicios de trámite[16]. Y, desde ese entonces, aún no se ha logrado su aprobación definitiva.
Ante esa situación, conviene preguntar: ¿Por qué alegaban monopolio estatal los colombianos? Porque, de aprobarse ese proyecto de ley, tal y como fue consignado, las instituciones privadas deberían pedirle autorización o contratar los servicios de la Registraduría Nacional del Estado Civil para poder acceder a los servicios de identificación y autenticación de las personas con biometría. En efecto, planteaban violación al derecho fundamental a la libertad de empresa y competencia, en la medida en que esa disposición legal los excluía de la participación en el mercado de los datos biométricos, especialmente en lo concerniente a los servicios de autenticación, ante la dificultad de no tener la certeza de acceso de datos biométricos no obstante contar con la autorización expresa de cada titular; pues, la evaluación de la procedencia de los contratos quedaría a discreción de la Registraduría Nacional del Estado Civil de ese país.
En esa misma línea argumentativa, los empresarios colombianos también reclamaron el hecho de que la ley impugnada violaba la prohibición constitucional de crear monopolios, además de anular las inversiones de particulares en ese sector; y desconocer la manera en que la apertura a la libre competencia en la prestación de los servicios públicos ha sido uno de los motores más importantes del progreso y desarrollo institucional en Colombia.
En respaldo a las demandas realizadas por una parte del empresariado colombiano, el exmagistrado de la Corte Constitucional colombiana, Manuel José Cepeda, también planteó que, al momento de elaborarse la disposición legal impugnada, el Congreso colombiano no ponderó la limitación que representa dicha disposición legal para el desarrollo de las nuevas tecnologías[17]. En ese tenor, el magistrado emérito consideró que «[…] los mecanismos de autenticación que puedan surgir del sector privado quedarían prohibidos por tratarse de una función exclusiva de la Registraduría. Por ejemplo, un usuario no podría utilizar su biometría facial como mecanismo de autenticación para acceder a su dispositivo móvil. Las plataformas de comercio electrónico, redes sociales, no podrían definir los mecanismos de identificación y autenticación para registrar las cuentas de sus usuarios y controlar su acceso»[18].
Frente a esta situación, cabe preguntarnos si el nuevo régimen legal de protección de datos biométricos establecido en los arts. 56,57,58,59, 60, 61, 62 y 216 de la nueva Ley núm. 4-23, Orgánica de los Actos del Estado Civil, resulta razonable, considerando que deben ser eliminados todos los bancos de datos biométricos existentes en el país para otorgarle a la JCE la potestad exclusiva de su recaudo, registro, tratamiento y autenticación de este tipo de información personal. Como pudimos apreciar anteriormente, en Colombia, los distintos sectores planteaban violaciones a diversos derechos y principios constitucionales. Asimismo, muchos reclamaban que, con dicha medida, se generaría un estancamiento del desarrollo de las nuevas tecnologías, tanto en el sector público como en el privado.
En tal virtud, conviene ponderar las consecuencias que traerá consigo la aplicación de esta nueva ley en materia de protección de datos biométricos, considerando que, según declaraciones relativamente recientes del INDOTEL, «[…]los servicios de telecomunicaciones movilizaron recursos por más de RD$51 mil millones de pesos durante el año 2021. Igualmente, cifras del Banco Central establecen que el sector registró una tasa de crecimiento de 7.6% durante el período enero-abril de 2022». De ahí que, la traba que vendría a imponérsele al desarrollo de las telecomunicaciones y demás sectores tecnológicos con el establecimiento del monopolio del recaudo, registro, reglamentación, acceso y autenticación de los datos biométricos de todos los dominicanos en favor de la JCE podría afectar considerablemente a este grupo empresarial y demás entidades públicas. Pues, hoy en día, nuestros dispositivos móviles, computadoras y demás aparatos tecnológicos utilizan (con nuestro consentimiento previo) el servicio de autenticación de datos personales para brindarnos un mejor servicio en materia de seguridad personal.
Otra problemática que plantea este nuevo régimen de protección de datos biométricos es el relativo al tratamiento de estos. Pues, según las nuevas disposiciones prescritas en la Ley núm. 4-23, la JCE podrá transferirle los datos biométricos de las personas a otra institución sin necesidad de obtener el consentimiento del titular de los mismos, en aquellos casos en que la JCE considere que una ley autoriza al cesionario a obtenerlos; cuando dicha transferencia de datos se derive de una relación contractual; o, cuando la cesión se produzca entre entidades del Estado para fines exclusivamente históricos, estadísticos o científicos, sin abordarse la explicación de cada uno de estos aspectos.
Según el art. 5.4 de la Ley núm. 172-13, sobre Protección de Datos Personales, los datos personales podrán cederse con el consentimiento libre, expreso y consciente del titular de los mismos. El referido consentimiento deberá figurar en forma expresa y destacada, previa notificación al titular de los datos personales. Estarán exentos del requisito del consentimiento al que se refiere esa disposición legal todos los organismos de investigación y de inteligencia del Estado encargados de la prevención, persecución y castigo de los crímenes y delitos, previa autorización de la autoridad judicial competente.
De lo anteriormente expuesto, se puede colegir que, la cesión de datos biométricos entre la JCE y otras instituciones del Estado quedaría a discreción de la cedente; o sea, de la JCE. Es decir, esta entidad deberá determinar si se cumplen o no las condiciones establecidas en el aludido art. 57 de la Ley núm. 4-23 para poder consentir la cesión de los datos biométricos recaudados. Y, en el caso de los organismos de investigación e inteligencia, según las prescripciones de la Ley núm. 172-13, estos deberán obtener una autorización judicial previa para tratar este tipo de datos personales; pues, en la actualidad no existe una legislación que autorice expresamente a estas instituciones a disponer de estos.
Si realizamos una comparación entre nuestra legislación de protección de datos personales con la de otros países, como por ejemplo, aquellos estados pertenecientes a la Unión Europea (UE), podemos percatarnos de que, en la mayor parte de esas legislaciones, se prevé una prohibición general en el tratamiento de los datos biométricos y demás datos personales. Y, en la mayoría de estas leyes se establecen expresamente los casos en los cuales aplicaría la excepción a esta prohibición general de tratamiento de datos.
De hecho, el 27 de abril de 2016, la Unión Europea (UE) emitió el Reglamento General de Protección de datos, al cual deberán adaptarse las legislaciones de los estados miembros. Este Reglamento ha tenido mucha influencia en América Latina, en razón de que «[…] no existe aún un proceso de integración jurídica en esta área […]»[19]. Por tanto, las «[…] disposiciones establecidas en el RGPD pueden tener muchas variantes. Los ejemplos incluyen el principio de protección de la privacidad desde el diseño y por defecto, las certificaciones, las notificaciones de violaciones de datos, el rol del Oficial de Protección de Datos o las sanciones administrativas por incumplimiento. Por ejemplo, en la nueva ley brasileña sobre protección de datos la multa puede ser de hasta el 2% de la facturación de una empresa en lugar del 4% previsto en el RGDP. De la misma manera, en el nuevo proyecto de ley en Argentina, el consentimiento también puede ser tácito bajo ciertas circunstancias».
En EEUU todavía no existe una ley federal única que aborde la recopilación y uso de datos biométricos. No obstante, en el estado de Washington, se aprobó una ley para la regulación de la privacidad biométrica, en junio de 2017. Además, los estados de Illinois y Texas también cuentan con una regulación en materia de privacidad biométrica. La diferencia principal entre el régimen legal europeo y estadounidense radica en la habilitación para su tratamiento.
En los países europeos regidos bajo el RGDP, el tratamiento de datos biométricos requiere, como regla general, el consentimiento expreso de su titular. Sin embargo, en EEUU, para poder tratar este tipo de datos, basta con informar al titular de los mismos o incluso disponer de un mecanismo de seguridad que evite compartir o comunicar este tipo de información personal. En caso de que se consienta el tratamiento de los datos, en la legislación norteamericana, no hace falta que se otorgue consentimiento expreso[20].
En ambos sistemas se establecen diversas excepciones a la prohibición de tratamiento de los datos biométricos. Sin embargo, se autoriza el manejo de este tipo de información personal sin consentimiento del titular esencialmente en los asuntos relativos a la salud del titular o para ejecutar actos u operaciones requeridas por éste. Finalmente, en el caso de los Estados Unidos, la excepciones a la prohibición en el tratamiento de datos biométricos se enfoca en la materialización de un acto de consumo; o, en la ejecución de una operación financiera[21].
En razón de la influencia que ha tenido el mencionado Reglamento de Protección de Datos (RGPD) en América Latina, conviene referirnos a la disposición concerniente a los datos personales. En esta virtud, el art. 9 de la aludida reglamentación, prescribe las categorías especiales de datos personales estableciendo una prohibición general en el tratamiento de los mismos. De igual forma, el numeral 2 del mencionado art. 9 prescribe las circunstancias en las cuales la prohibición no será aplicable para fines de tratamiento de datos personales, a saber:
« -Consentimiento explícito del interesado, salvo que el Derecho de la Unión o de los Estados miembros establezca que la prohibición no puede ser levantada por el interesado;
Cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral y de la seguridad y protección social;
Cuando sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
Tratamiento efectuado en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical;
Tratamiento referido a datos personales que el interesado ha hecho manifiestamente públicos;
Tratamiento necesario para la formulación lejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
Tratamiento necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido;
Tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad;
Tratamiento necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
Tratamiento necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad[22]».
Cabe destacar que, en América Latina, las leyes relacionadas con la protección de datos personales son promulgadas como respuesta a una necesidad derivada del aumento del uso de las nuevas tecnologías por parte de la sociedad, las cuales conllevan mayores riesgos de vulnerabilidad en materia de protección de datos. En general, estas legislaciones son afines con el modelo europeo previamente descrito[23].
En Argentina, en el año 2018, se propuso un proyecto de ley tendente a reemplazar la actual Ley núm. 25326, con el finde adaptar esta legislación al RGPD europeo. Por tanto, en dicho proyecto legislativo se agregaron derechos y principios análogos a los establecidos en el RGPD, entre los cuales podemos mencionar: el concepto de dato biométrico; limitación del concepto de titulares de datos personales a las personas físicas excluyendo a las personas morales; obliga a los organismos gubernamentales a designar a un oficial de protección de datos; y, el establecimiento de criterios para el tratamiento de los datos personales, entre otras cuestiones importantes. Igualmente, la el proyecto de ley argentino tenía como fin el establecimiento de derechos adicionales en favor de los titulares de los datos personales, como el derecho a oponerse o restringir el uso de sus datos y el derecho a la portabilidad de los mismos. En Brasil, se aprobó una Ley General de Protección de Datos, estableciendo un régimen único de protección de datos personales basados en las disposiciones del reglamento europeo (RGPD). La ley brasileña creó una autoridad nacional de protección de datos; incorpora el alcance extraterritorial del RGPD; aplicando al sector público y privado el tratamiento de los datos personales previstos en esa normativa europea; obliga a las empresas y organismos gubernamentales que traten datos personales a nombrar un oficial de protección de datos; y prevé la imposición de multas de hasta el 2% de los ingresos brutos en el último año fiscal de un grupo empresarial en Brasil en caso de incumplimiento[24].
En cambio, en países como España, se ha optado por atribuir de manera exclusiva al titular el tratamiento de sus datos personales a través del consentimiento expreso. De manera que, en ese país, ninguna institución pública o privada tiene derecho a hacer uso exclusivo ni a ceder ese tipo de información personal catalogada por la jurisprudencia como sensible sin antes mediar el consentimiento expreso del propietario de los datos. La única excepción prevista en la Ley Orgánica núm.7/2021, de 26 de mayo[25] es la establecida en su art. 13.2, el cual prescribe que «[l]as autoridades competentes, en el marco de sus respectivas funciones y competencias, podrán tratar datos biométricos dirigidos a identificar de manera unívoca a una persona física con los fines de prevención, investigación, detección de infracciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública».
En Francia, la Ley núm. 2018-493, de protección de datos personales, establece en su art. 8 (que modifica el correlativo de la Ley 78-17, cuyo número I) que «Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la pertenencia sindical de una persona física, o tratar datos genéticos, datos biométricos con la finalidad de identificar una persona física de manera única, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona física»[26]. La ley francesa, además de establecer las excepciones previstas en el RGDP [27]de la UE para el tratamiento de datos personales (anteriormente citados), agrega otras adicionales en las cuales se autorizará el tratamiento de datos biométricos, a saber: i) se permite el tratamiento de datos biométricos (huellas digitales, etc.) estrictamente necesarios para los controles de acceso en los lugares de trabajo o las aplicaciones informáticas utilizadas en el lugar de trabajo.
Por consiguiente, ante la ausencia de una normativa internacional actualizada en materia de protección de datos personales en Latinoamérica, nuestros legisladores deberían estudiar las experiencias legislativas europeas y estadounidenses y así poder obtener un conocimiento más profundo sobre las implicaciones que conlleva la autorización del tratamiento de datos biométricos a distintas entidades públicas y privadas. Además, tendrían que observar el contenido de los arts. 42 y 44 de la Constitución dominicana, concernientes a los derechos a la integridad física, así como a la intimidad y honor personal, respectivamente. Pues, tal y como hemos expuesto anteriormente, el art. 44.4 le otorga la potestad de recaudación de datos a las autoridades encargadas de la prevención, persecución y castigo del crimen; es decir, a la Procuraduría General de la República y los tribunales ordinarios.
Sin embargo, la Ley núm. 4-23 le atribuye a la JCE la titularidad exclusiva de los datos biométricos sin ni siquiera establecerse en dicha legislación la obligación por parte de esa entidad de obtener el consentimiento expreso del propietario de la biometría para su captura y posterior registro, sino que deja a discreción del Pleno de la JCE la reglamentación concerniente a la recopilación, tratamiento, procesamiento y uso de ese tipo de información personal. De igual forma, en dicha ley, no se establecen las sanciones que conllevaría el tratamiento ilegal de estos datos biométricos.
Tampoco se prescribe la posibilidad de transferir esos datos biométricos a las instituciones encargadas de velar por la seguridad nacional, sino que dichas cesiones de datos biométricos, como establecimos anteriormente, quedan sujetas a la ponderación que realice la JCE sobre las posibles excepciones en las cuales se pueden transferir estos datos. Finalmente, en la actual Ley núm. 4-23, también se omite la posibilidad de crear un oficial de protección de datos personales para velar por la protección de esta importante información y tutelar el derecho a la privacidad biométrica de las personas derivado del derecho fundamental a la intimidad y el honor personal.
[1] Art. 59 de la Ley núm. 4-23, Orgánica de los Actos del Estado Civil.
[2] De acuerdo con el diccionario panhispánico del español jurídico de la Real Academia Española (RAE) el término «institución» comprende todo organismo o entidad que forma parte de la Administración Institucional. Por tanto, dicho concepto incluye a entidades del sector público y privado.
[3] Que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.
[4] Negrillas nuestras.
[5] El art. 184 de la Constitución dominicana de 2015 establece que las decisiones del TC son definitivas e irrevocables y que las mismas constituyen precedentes vinculantes para todos los poderes públicos órganos del Estado.
[6] En consecuencia, se puede concluir que, la fisiología de las personas, al constituir datos biométricos, según lo previsto en el numeral 10 del art. 3 de la nueva Ley núm. 4-23, son susceptibles de ser tuteladas por medio de la garantía constitucional del habeas data, por constituir información personal sensible.
[7] Art. 55 (Ley núm. 4-23).-Responsabilidad de recopilación y tratamiento de datos. La Junta Central Electoral es la encargada de la recopilación, tratamiento y procesamiento de los datos biométricos, con el propósito de autenticar y certificar la identidad de las personas. Párrafo. – La recopilación, tratamiento, procesamiento y uso se hará de la manera determinada por los reglamentos de aplicación subsiguientes a esta ley.
[8] En ese sentido, sugerimos ver el Periódico Diario Libre. Noticia: «Comienza la captación de datos biométricos de presos serán trasladados a la Nueva Victoria». Disponible en la web: https://www.diariolibre.com/actualidad/justicia/comienza-captacion-de-datos-biometricos-de-presos-seran-trasladados-a-la-nueva-victoria-EH20417452. Consultado por última vez el 13 de febrero de 2023, a las 3:32 P.M. Asimismo, ver la notifica «Procuraduría inicia captación de datos biométricos de internos de La Victoria», escrito por Teresa Casado. Disponible en la web: https://eldia.com.do/procuraduria-inicia-captacion-de-datos-biometricos-de-internos-de-la-victoria/. Consultado por última vez el 13 de febrero de 2023, a las 3:32 P.M.
[9] Artículo 14 (Ley núm. 631-16).-Facultad para la emisión. La emisión de licencias para la comercialización, intermediación, tenencia y portación de armas de fuego, municiones, y otros materiales relacionados es facultad del Ministerio de Interior y Policía (MIP), quien emitirá los documentos correspondientes, de acuerdo a los requisitos establecidos por ley, sea para personas físicas o jurídicas. Los requisitos son los siguientes: […][…] j) Toda persona física deberá presentarse ante el Ministerio de Interior y Policía para que realice la captura de los datos biométricos del licenciatario y las características del arma de fuego a licenciar».
[10] Periódico Diario Libre, Niza C. Inés A. El presidente de la Suprema Corte de Justicia conversó de manera extensa con Diario Libre sobre sus prioridades en el cargo y de temas complejos, como los presos preventivos. Publicación de 31 de enero de 2023. Disponible en la web: https://www.diariolibre.com/actualidad/dialogo-libre/2023/01/30/entrevista-con-luis-henry-molina-presidente-de-la-scj/2212487. Consultado por última vez el 16 de febrero de 2023, a las 9:04 PM.
[11] Art. 57 de la Ley núm. 4-23, Orgánica sobre Actos del Estado Civil.
[12] Ibídem.
[13] Artículo 43 del proyecto de Código Electoral colombiano. IDENTIFICACIÓN Y AUTENTICACIÓN POR MEDIOS DIGITALES. La Registraduría Nacional del Estado Civil será la encargada de la identificación digital y autenticación de todos los colombianos por los diferentes medios tecnológicos de firma digital, a través de la cédula de ciudadanía y tarjeta de identidad digital y por todo tipo de biometría o sistemas de autenticación, y se regirá por la regulación y disposiciones que para tal efecto expida la entidad.
La registraduria Nacional del estado Civil deberá permitir a las entidades públicas el acceso a los medios tecnológicos de identificación y autenticación de los colombianos para el cumplimiento de sus funciones constitucionales en virtud del principio de coordinación establecido en el artículo 209 de la Constitución Nacional.
Lo anterior sin perjuicio del resto de mecanismos de autenticación descritos en la Ley 527 de 1999 que promueve la digitalización de los colombianos. Parágrafo. La Registraduría Nacional del Estado Civil implementará la consulta y expedición en línea del registro civil, el cual no incorporará la inscripción de las huellas plantares.
[14] Arbeláz M., María Fernanda. Periódico digital El Tiempo. Debate por artículo del Código Electoral sobre autenticación digital. Disponible en la web: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/articulo-44-potestad-de-la-registraduria-en-la-autenticacion-digital-601843. Consultado por última vez el 12 de febrero de 2023, a las 11:11 A.M.
[15] Ibídem.
[16] Rodríguez, Clara. Nuevo Código Electoral: sí, pero no así. Artículo del periódico digital Razón Pública. Disponible en la web: https://razonpublica.com/nuevo-codigo-electoral-no-asi/. Consultado por última vez el 17 de febrero de 2023, a las 9:37 AM.
[17] Periódico digital El Tiempo, «Pliego de Condiciones a la Corte para ajustar el nuevo Código Electoral». Disponible en la web: https://www.eltiempo.com/justicia/cortes/codigo-electoral-sera-revisado-por-corte-constitucional-583562. Consultado por última vez el 14 de febrero de 2023, a las 11:56 P.M.
[18] Arbeláz M., María Fernanda. Periódico digital El Tiempo. Debate por artículo del Código Electoral sobre autenticación digital. Disponible en la web: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/articulo-44-potestad-de-la-registraduria-en-la-autenticacion-digital-601843. Consultado por última vez el 12 de febrero de 2023, a las 11:11 A.M.
[19] Portal web de la Universidad Andina Simón Bolívar, Ecuador. Escrito por: Luis Enrique. Título: «La protección de datos en América Latina: influencia del RGDP», 15 de junio de 2021. Disponible en el enlace: https://www.uasb.edu.ec/ciberderechos/2021/06/15/la-proteccion-de-datos-en-america-latina-influencia-del-rgpd/. Consultado por última vez el 17 de febrero de 2023, a las 2:39PM.
[20] Binder, Wilkins, James. «Protección de datos biométricos tendencia regulatoria en la Unión Europea y Estados Unidos (Estado de Washington)». Disponible en la web: https://obtienearchivo.bcn.cl/obtienearchivo?id=repositorio/10221/24644/2/BCN_datos_biometricos-_(f).pdf. Consultado por última vez el 17 de febrero de 2023, a las 3:04 PM.
[21] Ibídem.
[22] Ibídem.
[23] Portal web del BID. «Despuntan las reformas en materia de protección de datos en América Latina». Publicado el 12 de febrero de 2019. Disponible en el enlace: https://blogs.iadb.org/conocimiento-abierto/es/proteccion-de-datos-gdpr-america-latina/. Consultado por última vez el 17 de febrero de 2023, a las 3:27 PM.
[24] Ibídem.
[25] De protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
[26] Article 8 (Loi núm. 2018-493 du 20 juin 2018, relative á la protection des données personnelles ) «I.-Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique)».
[27] Reglamento General de Protección de Datos de la Unión Europea.
