Aprobada nueva Ley de protección de datos en Cuba. Analizamos su contenido.
El pasado 25 de agosto de 2022 Cuba aprobó su primera Ley Protección de Datos. Este es, sin duda, un gran paso en el reconocimiento de derechos fundamentales ausentes hasta el momento en el ámbito normativo de este país.
Esta ley sigue la línea de redacción ambigua y laxa acorde al estilo legislativo de la isla. El carácter burocrático que reina en la vida de todos los cubanos para la realización de trámites, también se deja ver en esta norma que no destaca por facilitar las reclamaciones de protección de datos. En este artículo realizaremos un primer acercamiento al análisis de su contenido.
Aplicación de la ley
La Ley N.º 149 de Protección de Datos Personales, cuya entrada en vigor está prevista a los 180 días de su publicación establece que son sujetos de su aplicación “tanto las personas naturales respecto a sus datos, como las personas jurídicas y naturales en cuanto al tratamiento de datos personales que realicen”. Aunque este apartado no distingue entre personas jurídicas de carácter público y privado, más adelante, en su artículo 7.1 sí incluye dentro de los llamados “responsables del tratamiento” tanto al sector privado como al público. De ello podemos inferir que también la administración pública cubana tendrá unas obligaciones y una responsabilidad derivada del tratamiento de datos personales. Esto cobra especial importancia en un país en el que el estado controla prácticamente todas las esferas de la vida de sus ciudadanos.
Los principios de protección de datos y el consentimiento
El texto reconoce 12 principios de protección de datos aplicables a los tratamientos, tales como: Limitación de recogida, calidad de los datos, especificación de los fines, limitación de uso, legitimación, salvaguarda de la seguridad, transparencia de la información, participación individual, responsabilidad, legalidad, grados de reserva de la información y consentimiento.
El consentimiento tácito es reconocido en la ley cubana con la misma relevancia que el expreso. Este consentimiento es definido como aquel que se otorga al “no oponerse” al tratamiento, una vez que el titular del dato reciba la información sobre el propósito del mismo. Cabe destacar que la modalidad de consentimiento tácito pasó a ser ilícita en Europa desde 2018 al considerarse que no ofrecía suficientes garantías para los derechos y libertades de los interesados. En Cuba hay que decir que «No», de lo contrario, se entenderá que «Sí».
Los datos sensibles y no sensibles
En la sección tercera se regula conjuntamente el tratamiento de datos personales sensibles y no sensibles, así como el consentimiento. El artículo 15 establece una lista de los llamados datos sensibles, que son, entre otros: “el sexo, género, identidad, identidad de género, orientación sexual, origen étnico y color de piel, el estado de salud presente o futuro, situación de discapacidad, información genética, u obtenidos a partir de pruebas diagnósticas realizadas en instituciones de salud o vinculadas a las técnicas de reproducción asistida, creencias religiosas, filiación política, antecedentes policiales y penales.”
Esta sección habilita el tratamiento de datos, incluidos los sensibles, cuando son obtenidos de fuentes de acceso público. Habrá que ver qué fuentes van a considerarse de acceso público ya que en la ley no se define. Se espera, con optimismo, que no se consideren fuentes de acceso público, por ejemplo, los perfiles en redes sociales abiertos, los que se sabe que son a menudo consultados por entidades gubernamentales para extraer datos de la postura ideológica de los ciudadanos a fin denegarles el ejercicio de ciertos derechos como el de entrada al país.
Es, cuanto menos, curioso, que el legislador considere «datos sensibles» aquellos referidos a la «filiación política» en un país en el que existe un único partido lícitamente reconocido, y donde cualquier posición ideológica contraria puede ser considerada contrarrevolucionaria.
En el listado de datos sensibles se excluyen las “opiniones políticas”, que sí vienen incluidas entre los datos sensibles protegidos por el Reglamento General de Protección de Datos exigible en Europa desde 2018.
Habitualmente en Cuba los ciudadanos «ideológicamente desviados», que podrían ser aquellos que manifiestan opiniones contrarias al régimen, están constantemente «circulados», o lo que es igual, perseguidos, controlados. Cabe preguntarse si este control deriva de la existencia de listas en poder del estado con datos sobre la ideología y las opiniones políticas. Estas listas ¿pasarían a ser ilícitas? Es probable que se argumente que son tratamientos necesarios para la defensa y la seguridad nacional, blanqueando así el uso indiscriminado de estos datos.
Los datos biométricos no se incluyen en el listado de datos sensibles, no se sabe si por olvido del legislador, o por una clara intención de excluirlos.
Las excepciones al consentimiento
Esta distinción entre “sensible y no sensible” revestiría especial importancia si el tratamiento de datos sensibles estuviera limitado en la norma con prohibiciones o restricciones relevantes específicas, como se plasma, por ejemplo, en el ya mencionado reglamento europeo. Una restricción sí nos es dada por el legislador cubano para los datos sensibles: la de tratarlos mediante consentimiento expreso (no tácito). Sin embargo, las mismas excepciones al consentimiento aplican tanto a los datos sensibles como a los no sensibles.
Estas excepciones, previstas en el artículo 17, son los supuestos en los que se pueden tratar datos de cualquier naturaleza sin consentimiento de las personas. Algunas de las excepciones expuestas en la ley cubana son demasiado amplias o imprecisas en su redacción. Por ejemplo, se indica que se pueden tratar datos sin consentimiento “ante un hecho que potencialmente pueda dañar a un individuo en su persona o bienes”, desconociéndose la naturaleza del daño al que se refiere.
Como era de esperar, también podrán tratarse datos personales de cualquier índole, sin consentimiento expreso: “Por razones de bienestar general, el orden público e interés de la defensa y la seguridad”.
Esto implica que, aunque no lo establezca ninguna ley, cualquier administración pública cubana que considere que existen razones de bienestar, orden o defensa de la seguridad nacional, podrá tratar los datos que estime oportunos, sin consentimiento expreso de su titular. Además de tratarse de una excepción descaradamente abierta, si en la práctica no se interpreta de manera restrictiva, habilitará al estado y a cualquier otro responsable a tratar datos cuando subjetivamente considere que es “bueno para la sociedad”, careciendo este planteamiento de límites normativos. Ante este aparente exceso, debe destacarse que el artículo 12 en relación con el 47 de la ley obligan a cualquier responsable a informar al titular, en todo caso, sobre el tratamiento de sus datos personales, de manera comprensible y pertinente: “sobre la licitud y finalidad específica de los datos que se solicitan, y tiene derecho a conocer los destinatarios o clase de destinatarios de esos datos, el carácter facultativo u obligatorio de proporcionarlos, dónde se almacenan, a qué tratamiento pueden someterse, las consecuencias de aportarlos o no y de su inexactitud, así como su régimen de conservación”.
Las autoridades no pueden solicitar datos excesivos a los ciudadanos
Los ciudadanos cubanos deben saber que, si bien lo expresado esta ley habilita a las autoridades como la policía a solicitar datos identificativos a las personas, a estas autoridades debe bastarles con el documento de identidad. Los ciudadanos no están obligados, según esta ley, a proporcionar a la policía datos adicionales a los identificativos que constan en el documento de identidad. Tal y como se expresa en el artículo 18.2, que deberá llevar cada cubano grabado a fuego: “Las autoridades correspondientes no deben exigir otros datos que no sean los reflejados en dichos documentos, en atención a lo establecido en el Artículo 16, apartado 1, de la presente Ley”.
Tratamiento de datos de imágenes y voz
El texto dedica la sección tercera del capítulo III a regular el tratamiento de datos como las imágenes y la voz.
Llama poderosamente la atención que se indique en el artículo 55.2, respecto al tratamiento de este tipo de datos: «El consentimiento informado no es requisito cuando se trate de personas de reconocidos méritos patrióticos, revolucionarios, personalidades, funcionarios públicos en el ejercicio de sus funciones». Esto se dice en un país en el que el actual ministro de cultura abofeteó en 2021 a un joven periodista que le grababa con su móvil, mientras el ministro increpaba a un grupo de manifestantes pacíficos; el mismo país en el que se cumplen penas de cárcel por grabar vídeos de las protestas del 11J, en cuyas grabaciones se observó a policías golpeando con palos a personas desarmadas.
¿Qué pasará entonces con los datos como números de teléfonos, conversaciones, emails, fotos, domicilios, que se publican a menudo en el programa televisivo #ConFilo con el fin de desacreditar a ciudadanos que manifiestan opiniones contrarias a la ideología del régimen? ¿Serán estas trasmisiones ilícitas por lesionar el derecho a la protección de datos? o ¿se justificarán con la desgarradora excepción de la defensa de la seguridad nacional?
Partiendo de esta ley, personalidades del periodismo independiente como la periodista Yoani Sánchez podrían ejercitar la acción de no divulgación ante el órgano u organismo estatal competente, esperando que sus datos personales no sean divulgados en la televisión y la prensa oficialista, lo que les viene causando un daño a su privacidad y poniendo en riesgo su integridad física y su seguridad personal.
Los derechos y acciones de protección de datos
Queda previsto en la norma que los ciudadanos pueden ejercitar derechos ante los responsables de tratamiento, como el de acceso, rectificación, cancelación y no divulgación, entre otros. No obstante, se indica en la norma que se pueden denegar estos derechos, incluido el de no divulgación, en varios supuestos. Nótese que algunas razones para denegar el ejercicio de derechos de protección de datos son tan abiertas como la del artículo 28.1: “otras que de manera significativa así lo ameriten”.
El titular de los datos podrá ejercer la llamada acción de protección de datos, tal y como se describe en la norma. Para resolver las cuestiones de protección de datos, no se crea, como era de esperar, una autoridad de control independiente. Son competentes para conocer las acciones “el superior jerárquico” de las personas responsables o encargadas de la base de datos, cuando estas se encuentren en un órgano de la Administración Central del Estado y entidades nacionales, o sus dependencias. En caso de que la persona responsable o encargada sea una persona natural o no se encuentren dichas bases de datos en un órgano, organismo de la Administración Central del Estado y entidades nacionales o sus dependencias, la acción de protección de datos personales se interpone ante el tribunal competente. Llegados a este punto conviene recordar que en Cuba no existe separación de poderes.
Las transferencias nacionales e internacionales de datos
Finalmente, la sección quinta del capítulo III regula las transferencias, no solo internacionales, sino también las nacionales. Parece más bien una sección dedicada a las posibles cesiones de datos dentro y fuera del territorio nacional, a las que han querido llamar “transferencias”.
El premio al articulado más laxo se lo debemos otorgar al artículo 63 que autoriza la transferencia de datos personales dentro del territorio nacional, “(…) por otras razones, que de manera significativa, así lo ameriten”. Todo parece indicar no existen límites para determinar las razones que prevalecerán sobre los derechos y libertades de los cubanos.
Las sanciones de protección de datos
Las sanciones incluyen el apercibimiento, la clausura del fichero, la suspensión del uso del dato por 5 días y la multa de un máximo de 20.000 pesos. La sanción de clausura del fichero o suspensión de la base de datos por 5 días, si esta fuera aplicable a la administración pública, resultaría de una absurdez inmensurable en tanto cuesta imaginar a un organismo estatal sufriendo por no poder tratar por 5 días los datos personales de sus ficheros. Sin embargo, ello sí podría derivar en graves daños para la ciudadanía ante la imposibilidad de recibir determinados servicios públicos. La clausura
La ley indica que “Las sanciones y medidas se aplican sin perjuicio de la responsabilidad civil o penal en la que se pueda incurrir”. Cabría pensar que incluso frente al propio estado, el afectado podría solicitar algo parecido a una responsabilidad patrimonial derivada de un incumplimiento que haya generado un daño a la privacidad.
Las multas las impone la Administración Central del Estado y entidades nacionales, en el ámbito de su competencia. Caben interrogantes como: ¿el estado pagará multas pecuniarias por incumplimiento de esta ley? ¿cuál será el deber de trasparencia de los diferentes órganos sancionadores competentes respecto a la recaudación y destino del importe de las multas?
Es tan enrevesado el procedimiento de reclamaciones, y tan poco independiente, que no parece ofrecer a los ciudadanos las garantías necesarias para ver sus datos seguros.
El pago de una multa por una entidad pública, para el caso de que ello aplique, podría carecer de sentido punitivo para el infractor, puesto que el importe de esta sanción se sacaría de un arca pública para ingresarse en otra. Esta ley no establece ningún tipo de responsabilidad para las personas con capacidad de decisión dentro de las entidades púbicas que ejecuten, o permitan que se ejecuten, incumplimientos de la ley de protección de datos. A este respecto solo cabe recordar que un derecho sin garantías es un derecho vacío
Ramon Sala Socio Director
