(Modificación al Código Tributario dominicano)
A través de la comunicación 011612 de fecha 19 de mayo del presente año, el presidente de la Rep. Dom., envío a mediación un proyecto de ley que modificaría el párrafo IV del artículo 56 de la Ley núm. 11-92 que aprueba el Código Tributario, de modo que el tratamiento de datos personales en el contexto de la Oficina Virtual, de los servicios de facturación electrónica o por cualquier otro medio de la DGII, se realice respetando los derechos a la intimidad y el honor de los contribuyentes, en conformidad con los principios constitucionales; y, al mismo tiempo que la DGII procese dichos datos en centros de datos propios, de terceros o en servicios de computación en la nube.
Todo lo anterior para dotar al sistema tributario de herramientas electrónicas para el almacenamiento de datos, y para poder modernizar y optimizar los procesos de la Administración Tributaria.
Y el planteamiento es válido y lógico. Cuando hablamos de administraciones públicas digitales, se deben emplear todas las medidas necesarias y técnicas para garantizar la sostenibilidad de los servicios brindados vía plataformas electrónicas.
Ahora bien, debido a que esta solución de almacenamiento de informaciones pudiera ser externa, e incluso, hasta internacional, ¿Cómo se configuraría esta acción en el plano de la materia de datos personales?
En este mundo de datos personales existe la figura de “encargado del tratamiento de datos personales” o “encargado”, la cual, a la luz del numeral 8 del artículo 4 del Reglamento General de Protección de Datos (RGPD) se define como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
Asimismo, en la letra e) del artículo 2.1 de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos, la enmarca como “prestador de servicios, que, con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del responsable, trata datos personales a nombre y por cuenta de éste”.
Por lo que, si entendemos que el responsable del tratamiento de datos, es aquel que determina los fines y medios del tratamiento de datos[1]; y que tratamiento de datos es cualquier operación efectuada mediante procedimientos físicos o automatizados sobre datos personales, como pueden ser la conservación, la comunicación por transmisión o el almacenamiento[2]; entonces si la Dirección General de Impuestos Internos (DGII) contrata un servicio de almacenamiento en centros de datos de terceros o servicios de computación en la nube (Cloud), dicha contratación supone calificar ese servicio o la proveedora de ese servicio como “encargado del tratamiento”.
¿Y qué supone calificar a una persona física o entidad pública o privada como encargado del tratamiento de datos personales?
Como ya hemos resaltado en las definiciones, la contratación de una persona física o jurídica o la de un servicio, como el caso de almacenamiento de informaciones, supone que el responsable del tratamiento “abra”, “comunique” o “entregue” los datos personales a estos, quienes estarán realizando el tratamiento de datos conforme las instrucciones del dueño de las bases de datos. En este caso, el tratamiento de “almacenar”.
Por ende, esta relación entre el responsable y el encargado del tratamiento debe de formalizarse mediante un contrato u otro acto jurídico (aunque comúnmente se hable de contrato de encargo), a los fines de que se garanticen los derechos de los titulares de datos y el cumplimiento de las normativas al respecto.
Bajo el RGPD y los Estándares de Protección de Datos Personales para los Estados Iberoamericanos[3], en este acuerdo, se debe de hablar sobre objeto, duración, naturaleza, finalidad del tratamiento, tipos de datos personales, categorías de interesados, obligaciones y derechos del responsable.
Es decir, debe de quedar claro que quien está siendo contratado debe de tratar los datos personales siguiendo únicamente las instrucciones documentadas por el responsable (salvo disposición legal), y por ende, solamente tratar los datos personales para las finalidades instruidas por el responsable; que los empleados del contratado garantizan el respeto a la confidencialidad de los datos; exponer si el contratado puede o no subcontratar otros servicios implicados en el encargo inicial que implique tener contacto con los datos personales; la decisión de suprimir o devolver los datos personales confiados una vez finalice la prestación del servicio al contratante; e incluso, determinar entre ellos si el contratado asistirá en la gestión y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales por parte de los titulares.
Todo lo demás implica también, que el responsable debe de realizar la debida diligencia para constatar si el encargado cumple con todas las obligaciones de las normativas o si posee códigos de conductas respecto al tratamiento de datos personales, asimismo, determinarse si el responsable puede realizar inspecciones o auditorias al encargado en un futuro. El responsable debe de elegir un encargado que ofrezca garantías que diluciden aplicación de medidas técnicas y organizativas apropiadas.
Y es que tanto los responsables y los encargados del tratamiento están en la obligación de aplicar medidas de seguridad del tratamiento, tales como seudonimización o cifrado de datos, mantener y garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento, igualmente, demostrar la capacidad que poseen para restaurar la disponibilidad y el acceso de datos, en los casos de que haya sucedido un incidente informático físico o técnico, Etc.
Asimismo, existe una responsabilidad de que el encargado debe de notificar cualquier violación de seguridad de los datos personales, y llevar a cabo evaluaciones de impacto relativa a la protección de datos personales en los casos que aplique.
Las responsabilidades de cuidado de los datos del responsable del tratamiento, deben de extenderse en cierto sentido al encargado del tratamiento, porque solo así se puede hablar de protección de datos de todos y cada uno de los titulares de los mismos, y, por lo tanto, los derechos fundamentales que subyacen de estos.
¿Cómo se regula esta relación en la República Dominicana?
En nuestro país, existe un vacío legal con respecto a esta figura. El “encargado del tratamiento” solo se menciona 4 veces en nuestra normativa: en la definición del mismo, dos veces en la definición de la figura “tercero” y en la mención de este en el principio de seguridad de los datos.
En la Ley de Protección de Datos Personales, núm. 172-13, en el numeral 12 del artículo 6, se define al encargado del tratamiento como “la persona física o jurídica, pública o privada, que realice el tratamiento de los datos personales por cuenta del responsable del tratamiento”.
Y en el numeral 5 del artículo 5 de la misma ley mencionada, contempla que el responsable del tratamiento y en su caso, el encargado del tratamiento, “deberán adoptar e implementar las medidas de índole técnica, organizativa y de seguridad necesarias para salvaguardar los datos de carácter personal y eviten su alteración, pérdida, tratamiento, consulta o acceso no autorizado”.
Solo lo anterior, es lo que nuestra ley contempla.
Actualmente, vivir fuera del entorno tecnológico es impensable. De cara a las Administraciones Públicas es innegable los beneficios que supone digitalizar todos sus servicios públicos, ya que repercuten en eficiencia administrativa y comodidad para los ciudadanos que interactúan con los mismos.
La circulación de las informaciones es inevitable, de hecho, es crucial para finalidades como la interacción con el Estado. No obstante, supone para los titulares un peligro el manejo indebido de estas informaciones en manos de personas autorizadas o no para poseerlos: puede ocurrir fuga de informaciones, introducirse datos errados en el sistema, o simplemente un hackeo en los mismos.
En resumen, cualquier exteriorización desautorizada de datos personales de parte de las personas responsables de archivos, bancos de datos o registros, acarrearía la exhibición de la vida de los titulares de esos datos, implicando, en primer lugar, la vulneración al derecho de intimidad y privacidad, y, en segundo lugar, la transgresión de otros derechos, tales como el derecho a la igualdad, al honor y la imagen, a la integridad personal, y el respeto a la dignidad humana, Etc.
Es por ende que, bajo este panorama se crean las normativas de protección de informaciones personales que resguardan los “datos personales”, y por vía de consecuencia, el bien jurídico “privacidad” y demás derechos mencionados.
Estas normativas buscan proteger a las personas a través de sus datos, por lo que traslada responsabilidades a todos aquellos que traten informaciones, para que exista un buen manejo de los mismos, y, por ende, se respeten los derechos de los titulares.
Las garantías de que los datos deban usarse conforme a las normativas, que las personas tengan la posibilidad de autorizar el tratamiento de sus datos, el derecho de que se les informen los usos o posibles cesiones a otros o fuera del territorio nacional, la obligación de que estos datos deban de estar resguardados con las debidas medidas técnicas y organizativas que garanticen integridad y confidencialidad de nuestros datos, y sobre todo, que los ciudadanos conozcan de primera mano sus derechos con respecto a sus datos; es lo que se ha construido para resguardarnos en estos tiempos digitales y de nuevas tecnologías.
Responsabilidades que no solo deben de ser cumplidas por quien determine las condiciones del tratamiento de datos personales, sino también, aquellos que interactúan con este como son los encargados del tratamiento, como ya hemos venido exponiendo.
En ese sentido, ante este nuevo planteamiento sobre introducir cambios legislativos para viabilizar el almacenamiento en la nube o centros de datos de terceros o fuera del territorio nacional, tenemos dos conclusiones:
- Definitivamente, urgencia para la modificación de la ley dominicana sobre protección de datos personales para que se puedan incluir verdaderas garantías a los titulares y/o interesados de datos personales. Igual, que regule correctamente la relación entre el responsable y el encargado del tratamiento.
- En esta oportunidad que se busca modificar el Párrafo IV del artículo 56 del Código Tributario, a los fines de permitir que la DGII pueda contratar servicios externos de almacenamiento, llamamos a que se prevea todas las garantías mencionadas y estipuladas en normativas internacionales (como hemos expuesto), de manera que sea el mismo Estado quien garantice y proteja en primer plano nuestros datos personales al momento de recurrir a un encargado de tratamiento.
Presidenta del Observatorio DATALAWRD.
_________________________________________________________
Recuerda seguirnos por Twitter por el usuario @datalawrd15 y por las demás redes sociales a través del usuario @datalawrd para ver más sobre nuestro contenido.
[1]Definición: Numeral 7 del artículo 4 del RGPD; letra g) del artículo 2.1 de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos; y numeral 18 del artículo 6 de la Ley núm. 172-13 dominicana.
[2]Definición: Numeral 2 del artículo 4 del RGPD; letra i) del artículo 2.1 de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos; y numeral 21 del artículo 6 de la Ley núm. 172-13 dominicana.
[3]Artículo 28 y ss. del RGPD. Y capítulo IV de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos.
