La protección de datos personales es un tema cada vez más relevante frente a realidades como el auge del comercio electrónico, el desarrollo de trámites en línea ante instituciones públicas, o el amplio uso e influencia de las redes sociales, entre otras.

A raíz de estas actividades, es cada vez mayor la cantidad de datos personales que se recolecta, almacena y son objeto de tratamiento, pudiendo además generarse nuevos datos (metadatos) a partir de ellos. Los datos poseen un valor económico, pero también surgen preocupaciones en torno a la libertad e intimidad de las personas.

Bases jurídicas 

En Guatemala, las normas y orientaciones fundamentales para la protección de datos se encuentran en la Constitución Política de la República, la Ley de Acceso a la Información Pública (Decreto 57-2008), y en algunos pronunciamientos de la Corte de Constitucionalidad. Como norma general, la Constitución garantiza que “Toda persona tiene el derecho de conocer lo que de ella conste en archivos, fichas o cualquier otra forma de registros estatales, y la finalidad a que se dedica esta información, así como a corrección, rectificación y actualización” (Artículo 31).

La Corte de Constitucionalidad ha afirmado, además, que el derecho a la autodeterminación informativa, derivado de los derechos a la intimidad, al honor y a la privacidad, se sustenta en los Artículos 4º y 44 de la Constitución, 12 de la Declaración Universal de Derechos Humanos, 11.2 de la Convención Americana sobre Derechos Humanos y 17 del Pacto Internacional de Derechos Civiles y Políticos (Expediente 3552-2014). 

Otros referentes importantes que se deben tener en cuenta son: 

El informe sobre Principios que informan la privacidad y la protección de datos personales, presentado por la Relatora Especial sobre el derecho a la privacidad ante la Asamblea General de la Organización de las Naciones Unidas (ONU) en 2022. 

Los Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, aprobados por la Asamblea General de la Organización de Estados Americanos (OEA) en 2021. 

El repertorio de recomendaciones prácticas sobre Protección de los datos personales de los trabajadores, aprobado por el Consejo de Administración de la Organización Internacional del Trabajo (OIT) en 1996, a partir de los trabajos de una reunión de expertos sobre la protección de la vida privada de los trabajadores. 

Estos principios, además de inspirar legislación a futuro, pueden ser relevantes para la resolución de casos concretos, al tenerse como estándares internacionales sobre derechos humanos que contribuyen a precisar el contenido, objeto y alcances de las obligaciones del Estado de Guatemala en la materia (Corte de Constitucionalidad, Expediente 5815-2018, sentencia de 18 de enero de 2022). 

El derecho a la protección de datos personales y sus implicaciones, como la llamada autodeterminación informativa, se basa en conceptos fundamentales del constitucionalismo y los derechos humanos como la dignidad de la persona, el derecho a la intimidad y al honor personal. Sobre esas bases, la materia se rige por principios como el de licitud, lealtad y transparencia, limitación de la finalidad, exactitud, limitación del plazo de conservación, integridad y confidencialidad, minimización de datos, y consentimiento.

Asimismo, la Constitución Política de la República de Guatemala establece que los datos suministrados por particulares a la administración pública bajo “garantía de confidencia” quedan excluidos de la regla general de publicidad de los actos administrativos (Artículo 30), y prohíbe los registros y archivos de filiación política, salvo los que llevan las autoridades electorales y los partidos (Artículo 31).

Datos personales, derechos y obligaciones básicas

La Ley de Acceso a la Información Pública (Decreto 57-2008) tiene como objeto, entre otros, “Garantizar a toda persona individual el derecho a conocer y proteger los datos personales de lo que de ella conste en archivos estatales, así como de las actualizaciones de los mismos” (Artículo 1 numeral 2). Al efecto, define datos personales como aquellos “relativos a cualquier información concerniente a personas naturales identificadas o identificables”, y como datos sensibles o datos personales sensibles todos los que “se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o actividad, tales como los hábitos personales, el origen racial, el origen étnico, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos, preferencia o vida sexual, situación moral y familiar u otras cuestiones íntimas de similar naturaleza”.

Por su parte, la Ley del Registro Nacional de las Personas (RENAP) (Decreto 90-2005) establece que la información que posee el RENAP es pública, salvo cuando pueda usarse para afectar el honor o intimidad de las personas, señalando como información pública sin restricción: el nombre y apellidos, el número de identificación, las fechas de nacimiento o defunción, el sexo, la la vecindad, la ocupación, profesión u oficio, la nacionalidad y el estado civil. En cambio, no es pública la dirección de residencia (Artículo 6 literal j). 

Como un derecho humano reconocido por la Organización de las Naciones Unidas, el titular de los datos personales tiene los derechos de acceso, rectificación, supresión y oposición respecto de los datos que de él consten en archivos públicos o privados. 

En este sentido, y conforme a los principios establecidos por la Organización de las Naciones Unidas, quien realice cualquier forma de tratamiento de datos personales –por ejemplo, una empresa con ocasión de su giro de negocios– está obligado a: 

1. Implementar medidas de seguridad para el tratamiento y resguardo de los datos; 
2. Evaluar periódicamente la protección de datos personales 
3. Notificar en caso de vulneración a bases de datos 
4. Vigilar el cumplimiento e implementación de las políticas correspondientes 
5. Designar un encargado para la protección de datos 
6. Garantizar el derecho de acceso, rectificación, supresión y oposición al titular de dichos datos.

Algunas legislaciones recogen el principio de consentimiento como uno de los principios fundamentales en el tratamiento de datos. Otras lo contemplan como parte del principio de licitud. En todo caso, el consentimiento debe revestir ciertas características que aseguren la efectiva protección de la autodeterminación personal respecto de los datos, debiendo ser libre, expreso, espontáneo, informado y por escrito o por un medio similar que garantice su prueba.

En cuanto al consentimiento, es indispensable que, al momento de que éste se otorgue, se provea al titular de los datos la información necesaria para otorgar un consentimiento informado. Esto quiere decir que se le debe informar sobre la naturaleza de los datos que serán recopilados, el uso que se les dará, así como quiénes tendrán acceso a tales datos y si los mismos podrían o no ser transferidos a terceras personas, sean éstas relacionadas o no. Un consentimiento viciado o no informado podría dar lugar a una violación del derecho de autodeterminación y a sanciones legales. 

Un tema que provoca cuestionamientos en algunas actividades es la posibilidad de transferir las bases de datos. En general, se requiere, ante todo, la autorización expresa de los titulares de los datos.

La comercialización o distribución no autorizadas pueden incluso constituir delito, tal es el caso en Guatemala (Artículo 64 del Decreto 57-2008). En este sentido, quien recibe la base de datos debe asumir las mismas obligaciones de quien captó los datos, y la transferencia debe ser con el mismo fin para el cual se captaron. 

Acciones Legales

Un caso fundamental para esta materia en Guatemala es la sentencia del 10 de febrero de 2015, dictada por la Corte de Constitucionalidad dentro del expediente de amparo 3552-2014, cuyo primer Considerando merece transcribirse en su totalidad:

“La comercialización de información de datos de una persona debe encontrarse sujeta a que esta [sic] sea proporcionada voluntariamente por la persona, cuyos datos serán objeto de comercialización y que al momento de obtenerse se haya garantizado a tal persona los derechos de actualizar, rectificar pero sobre todo de confidencialidad y exclusión como una manera de resguardo de sus derechos fundamentales, tales como a su intimidad personal, privacidad y sobre todo honor, por lo que, al comercializar los datos personales que no observen las exigencias previamente enunciadas, tal información podría derivar de una actividad transgresora a derechos fundamentales, que conlleva responsabilidad tanto para las entidades que proporcionen esos datos como para aquellos que se sirvan de ellos. Por lo antes expuesto resulta ser el amparo, la acción constitucional idónea para garantizar el derecho de toda persona a acceder y administrar la información personal, extraída de base [sic] de datos o registros públicos, privados o cuando esos datos sean otorgados por personas individuales o jurídicas que prestan un servicio al público de información de personas, quienes están en posición de autoridad ante el particular, al poseer los mecanismos tecnológicos que permiten el control y manejo de sus datos personales. En estos casos el amparo opera como instrumento constitucional por el que puede instarse la eficacia de los derechos humanos fundamentales, bien para asegurar su cumplimiento ante amenaza inminente de violación, o para restablecer aquellos cuando han sido vulnerados por resoluciones o actos indebidos”.

Es decir, que una persona que se considere amenazada o afectada en la protección de sus datos personales tiene la opción de solicitar amparo contra el presunto transgresor, aun cuando se trate de una persona o entidad privada. 

Adicionalmente, pueden haber otras acciones legales que una persona pueda tomar en resguardo de sus datos personales, dependiendo del contexto o del tipo de relación en que suceda. Por ejemplo, si sucede en el marco de una relación laboral (entre patrono y trabajador), se podría denunciar ante la Inspección General de Trabajo o demandar ante un juzgado laboral. También es posible entablar acciones civiles de daños y perjuicios. El supuesto general sería como daño moral, pero puede haber otros supuestos específicos: por ejemplo, que como causa directa de una violación de datos personales una persona se vea afectada en su acceso al trabajo, al crédito, en su reputación, etc. 

Frente a sujetos obligados (entidades estatales, o privadas que manejan fondos públicos) bajo la Ley de Acceso a la Información Pública puede haber acciones administrativas. Por ejemplo, dicha ley establece deberes específicos respecto de datos personales para los sujetos obligados, por lo que podrían hacerse valer mediante un recurso de revisión en materia de hábeas data (Artículos 30 y 53). La violación de la ley en perjuicio de particulares puede dar lugar a una acción de responsabilidad contra los funcionarios públicos involucrados, en los términos que señalan la Constitución y las leyes. Por otro lado, tanto la Ley de Acceso a la Información Pública como el Código Penal establecen algunas figuras delictivas por las cuales se castigan conductas tales como:

• La creación de bancos de datos o registros informáticos que puedan afectar la intimidad de las personas; 
• El uso u obtención no autorizados de datos contenidos en registros informáticos, bancos de datos o archivos electrónicos; 
• La comercialización o distribución por cualquier medio de archivos de información de datos personales, datos sensibles o datos personales sensibles, sin autorización expresa y por escrito de su titular, que no provengan de registros públicos.

Perspectivas a Futuro

En cuanto a una eventual regulación más amplia de la materia, en agosto de 2022 el Congreso de la República de Guatemala aprobó el Decreto 39-2022, Ley Contra la Ciberdelincuencia. Aunque tampoco se refería exclusivamente a la protección de datos personales, incluía varias disposiciones que habrían profundizado su regulación en el país. Sin embargo, el decreto causó preocupación ante posibles violaciones a la libertad de emisión del pensamiento, originando llamados a vetarla. El Congreso, en lugar de enviarlo al Ejecutivo para su promulgación o veto, votó por archivar el decreto, evitando así su entrada en vigor. Por lo que, no sólo esa legislación no entró en vigor, sino que, a la presente fecha, no hay una legislación específica que proteja la intimidad de las personas en cuanto a sus datos personales.

Durante la actual legislatura se han presentado tres iniciativas sobre esta materia:

• La 6103, Ley Integral de Protección de Datos Personales en Poder de Terceros, que tuvo segundo debate en febrero de 2023 
• La 6105, Ley de Protección de Datos, que recibió dictamen favorable de comisión legislativa en abril de 2023 
• La 5921, que tuvo dictamen favorable en noviembre de 2021. 

Dado que las tres cuentan con dictamen, seguirán activas al instalarse la nueva legislatura el 14 de enero de 2024, conforme el Artículo 45 de la Ley Orgánica del Organismo Legislativo. En este sentido, será de estar a la espera del avance legislativo de la actual legislatura, o bien, de la nueva legislatura, en cuanto a la protección de datos en la República de Guatemala.

Las empresas transnacionales son cada vez más conscientes de la necesidad de cumplir con las normas que regulan el tema en cada país donde operan, así como, de implementar buenas prácticas al respecto aún más allá de lo requerido por ley o, incluso, en ausencia de un marco legal específico y pormenorizado.

La falta de tal marco normativo en Guatemala ha hecho necesario que los profesionales jurídicos desarrollen la habilidad de brindar a sus clientes una asesoría acertada y oportuna, a la luz de las reglas y principios generales contenidos en la Constitución y tratados internacionales, la legislación guatemalteca y la jurisprudencia que los desarrolla, familiarizándose además con los estándares y prácticas de la materia implementados en otras jurisdicciones. Este es un esfuerzo de continuo aprendizaje adoptado conscientemente por los profesionales de Mayora & Mayora SC.