FOIA 2000 vs. GDPR. Un análisis de las legislaciones sobre privacidad

March 07, 2023 | 8 minutes read
FOIA 2000 vs. GDPR. Un análisis de las legislaciones sobre privacidad

Gracias a la Regulación General de Protección de Datos del 2018 y la Ley de Libertad de Información del 2000, las personas tienen derecho a acceder a la información. Estas regulaciones establecen la necesidad de una gestión adecuada de los datos por parte de las organizaciones y permiten la divulgación de información dentro de un plazo establecido constitucionalmente. El incumplimiento de estas leyes puede dar lugar a mala publicidad, acciones judiciales y severas sanciones.

Regulación General de Protección de Datos (GDPR)

La GDPR impone una responsabilidad legal a las instituciones que manejan datos privados para garantizar que:

Acceso del interesado

La GDPR permite a los sospechosos y sus representantes legales, así como a los médicos, familiares de pacientes o empleados acceder a la información personal que las instituciones guardan sobre ellos. Esto abarca todo tipo de documentos, ya sea en papel o digital, conservado en redes o bases de datos, radiografías, fotos, tarjetas hospitalarias y correos. Las solicitudes laborales pueden incluir el acceso a datos sobre los empleados o información sobre su campo. El plazo para responder a una solicitud de información es de un mes (30 días).

La Ley de Libertad de Información del 2000

La Ley de Libertad de Información pretende mejorar la transparencia y la responsabilidad del sector público, lo que implica a instituciones del Gobierno, juntas, clínicas, profesores y fuerzas del orden. La ley concede a los ciudadanos la oportunidad de acceder a información en poder de las instituciones para que estos puedan conocer cómo las entidades llevan a cabo sus funciones, cuáles son sus procedimientos de toma de decisiones y cómo se utilizan los fondos públicos.

Las Regulaciones de Información Medioambiental, junto a la Ley de Libertad de Información otorgan al público la capacidad de solicitar la información relativa al medio ambiente que cualquier organización tenga en su poder.

Los siguientes son ejemplos de solicitudes que han recibido las organizaciones en materia de libertad de información:

Al igual que las de la GDPR, las solicitudes de la FOIA también tienen un plazo contractual. Una vez que la institución implicada recibe la solicitud, cuenta con 20 días hábiles para disponer de los datos. Es imprescindible que, una vez obtenida la solicitud, se remita inmediatamente al Departamento de Libertad de Información.

Diferencias entre la FOIA y la GDPR

La FOIA abarca la información almacenada por las instituciones públicas y no exige información privada sobre la persona que presenta la solicitud. La FOIA se limita a permitir el acceso a la información de dominio público.

La GDPR, por su parte, salvaguarda la información privada. Esto ofrece a todos el derecho constitucional de acceder a los datos recogidos sobre ellos (a través de una Solicitud de Acceso del Interesado) y, en ciertas situaciones, permite disuadir a otros individuos de ver, usar o almacenar determinada información personal.

Para garantizar la seguridad de los datos, la FOIA no permite al público recuperar información cuyo acceso esté prohibido en virtud de la GDPR. Cuando se soliciten datos personales de otro individuo, la demanda se abordará con arreglo a las normas de la FOIA, pero se utilizarán las directrices de la GDPR para establecer si los datos pueden divulgarse. Si la divulgación de la información infringe las condiciones de la GDPR, la solicitud será denegada.

¿Cómo afecta la GDPR a la FOIA?

El artículo 40 de la FOIA la vincula con la Ley de Protección de Datos de 1998 (DPA), legislación sustituida por la GDPR. Existe, además, un impacto colateral porque en virtud de la GDPR, organizaciones como las instituciones públicas están obligadas a registrar su adhesión, lo que las hace elevar su transparencia con el público.

Si se examina más detenidamente el artículo 40 de la FOIA, se descubre que las excepciones relativas a los datos personales obedecen a los dos siguientes motivos:

Por su parte, las autoridades gubernamentales están obligadas a familiarizarse con las normas actuales de la GDPR relativas a las solicitudes de acceso de los interesados y remitirse a ellas. Por otra parte, la introducción de la GDPR ha aumentado la incertidumbre en cuanto a la tramitación del tipo de solicitud de la FOIA en la que se ven afectados los datos de diferentes individuos.

¿Cómo promueve la GDPR la rendición de cuentas?

La GDPR se centra más en la transparencia y la rendición de cuentas que su predecesora, la Ley de Protección de Datos (DPA). La GDPR obliga a los organismos gubernamentales a ser más abiertos y responsables con el público. El objetivo fundamental de la FOIA es permitir a cualquier ciudadano obtener acceso a cualquier dato almacenado por un organismo público. Salvo determinadas excepciones, cualquier registro conservado por un organismo público debe divulgarse en el marco de la FOIA. Esto incluye todos los registros conservados por un organismo en relación con su cumplimiento con la ley de protección de datos. Si la persona que solicita los datos pide información sobre los métodos de seguridad de datos de un organismo público, puede ser difícil responder a estas solicitudes de la FOIA si la divulgación de dichos registros incumple con la GDPR, o peor aún, si el interesado sugiere que no se han tomado medidas para proteger los datos, especialmente cuando no hay registros que divulgar. En la esfera pública, el incumplimiento de lo normado por la GDPR puede acarrear a los organismos públicos críticas y pérdida de la reputación.

Un ejemplo de las estipulaciones actualizadas en materia de transparencia se encuentra en el artículo 30 de la GDPR, donde exige que las instituciones mantengan registros de las operaciones de procesamiento de datos. Se espera que cada organización registre claramente los datos siguientes:

No sólo es necesario llevar un registro de la actividad de procesamiento de la información, sino que también es vital que los pormenores del procesamiento estén debidamente documentados y que se cumpla con la normativa de protección de datos. Por ejemplo, en la documentación registrada de la declaración de privacidad del organismo público, la explicación de los motivos por los que se recogen los datos personales debe figurar. De no ser así, la autoridad pública podría ser justamente culpada de no ser franca y abierta sobre cómo maneja los datos personales.

Además, las instituciones públicas están obligadas a registrar cualquier violación de los datos personales (Artículo 33, Apartado 5 de la GDPR), lo que incluye todos los detalles relativos a la violación de los datos, sus consecuencias y las medidas adoptadas para corregir el problema. Este informe se convierte en “información registrada” para los organismos públicos y, por tanto, puede divulgarse en virtud de la FOIA. Si el registro muestra infracciones repetidas, la exposición de una lista registrada de dichas violaciones de datos puede contribuir a una exposición más amplia de las deficiencias en materia de protección de datos.

Conclusión

En conclusión, desde la implementación de la GDPR en mayo de 2018, parece que los organismos públicos han experimentado dificultades preliminares específicas con respecto a la aplicación de la exención del Artículo 40 (2) cuando los datos solicitados incluyen información personal perteneciente a un tercero. El fundamento de intereses legítimos del que solían depender las autoridades públicas para excusar la divulgación de información personal ya no es relevante. Por tanto, la FOIA ha dificultado a los organismos públicos la divulgación de información privada.

Además, teniendo en cuenta que el objetivo principal de la FOIA es: “Aumentar la transparencia de los organismos públicos, haciendo que sus procedimientos operativos y procesos de toma de decisiones sean transparentes para la población.”, no hay forma de que las organizaciones públicas eviten sus responsabilidades con respecto a dicha ley. Esta transparencia se aplica ahora también al cumplimiento de la GDPR, que exige expresamente que determinados documentos estén en regla y se clasifiquen como “información registrada”. Actualmente no hay excusa para el incumplimiento de las normativas de la FOIA por parte de las organizaciones públicas.

Related Reads

solving-the-mystery-of-privacy-acronyms
November 22, 2024 | 10 minutes read
Resolver el misterio de los acrónimos de privacidad

La ciberseguridad es vital. Si acepta pagos con tarjeta, debe cumplir las leyes de privacidad, incluso si opera desde casa.

Conozca Más »
Lawyer swearing an oath with one hand on the bible and the other on a gavel.
November 22, 2024 | 9 minutes read
Normas de redacción del Tribunal Federal, Cumplimiento legal

La redacción protege la privacidad eliminando datos sensibles. EE.UU. no tiene una ley como el GDPR, pero tiene normas para proteger a los ciudadanos.

Conozca Más »
what-is-video-resolution
November 22, 2024 | 8 minutes read
¿Qué es la resolución de vídeo? | Sus aplicaciones

La resolución de vídeo es el número de píxeles en un área, calculado por ancho y alto. Por ejemplo, 1024 x 768 significa 1024 píxeles de ancho y 768 de alto.

Conozca Más »
what-does-privacy-mean-to-the-census-bureau
November 22, 2024 | 7 minutes read
¿Qué significa la privacidad para la Oficina del Censo?

La privacidad diferencial añade “ruido” a los datos para protección, pero algunos estados temen que distorsione datos y afecte la representación política.

Conozca Más »
what-is-bit-rate
November 22, 2024 | 9 minutes read
Lo que hay que saber sobre la tasa de bits

La tasa de bits es la velocidad de transferencia de bits, que influye en la calidad de archivos de vídeo o audio.

Conozca Más »
what-is-macroblock
November 22, 2024 | 4 minutes read
¿Qué es un macrobloque y para qué sirve?

Un macrobloque es una unidad de procesamiento en compresión de vídeo e imágenes, usando transformaciones lineales como la DCT.

Conozca Más »