CIBERSEGURIDAD · UNIDAD 1 · FUNDAMENTOS DE LA PRIVACIDAD Y PROTECCIÓN DE DATOS

Unidad 1: de "que me dejen en paz" a controlar tus propios datos

LECTURA · 11 MIN

Un mismo día, una estudiante boliviana abre una cuenta bancaria en línea, paga con QR, pide comida por una app y se registra en la plataforma virtual de su universidad. En cada clic deja un rastro de datos personales. Entender el derecho de la privacidad empieza por notar que hoy no se trata solo de "que me dejen en paz", sino de poder controlar qué pasa con ese rastro.

1.1 Fundamentos y evolución del derecho a la privacidad

1.1.1 Evolución de los derechos en entornos digitales

En 1890, los juristas Warren y Brandeis describieron la privacidad como "el derecho a que lo dejen a uno en paz" frente a periódicos y cámaras fotográficas. En la sociedad digital esa idea ya no alcanza: tus datos no solo se "ven", se recopilan, almacenan, cruzan y usan para predecir tu comportamiento. De ahí nace una idea más activa: la autodeterminación informativa, el derecho a decidir qué pasa con tus propios datos, no solo a ocultarlos. Una app de delivery no solo conoce tu dirección: puede inferir tus hábitos, tu nivel de ingresos y tus horarios.

1.1.2 Fundamentación internacional del derecho a la privacidad

La privacidad se protege como un derecho humano, no como una simple política nacional, por lo que aparece en los principales instrumentos internacionales de derechos humanos y genera obligaciones concretas para los Estados que los ratifican, incluida Bolivia.

1.1.3 Declaración Universal de los Derechos Humanos y el Pacto Internacional de Derechos Civiles y Políticos

El artículo 12 de la Declaración Universal de los Derechos Humanos (1948) establece que nadie será objeto de injerencias arbitrarias en su vida privada, familia, domicilio o correspondencia. El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (1966), ratificado por Bolivia en 1982, repite esa protección pero con carácter vinculante, a diferencia de la Declaración, que es un instrumento declarativo. Son normas anteriores a internet, pero su principio —ninguna injerencia arbitraria— es justamente lo que hoy intenta traducirse a los flujos de datos digitales.

1.1.4 Convenio de Estrasburgo para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales

Firmado en Estrasburgo el 28 de enero de 1981 por el Consejo de Europa, el "Convenio 108" fue el primer tratado internacional jurídicamente vinculante dedicado específicamente al tratamiento automatizado de datos personales, con principios (recolección lícita y leal, limitación de la finalidad, calidad del dato, seguridad) varias décadas antes del GDPR. Está abierto a la adhesión de países no europeos (versión modernizada "Convenio 108+", 2018): Uruguay se adhirió en 2013, siendo el primer país no europeo en hacerlo. Bolivia no forma parte de este convenio, aunque sus principios influyeron en casi todas las leyes de protección de datos que se estudian más adelante en este curso.

1.2 Reconocimiento constitucional y jurisprudencial del derecho a la protección de datos

1.2.1 Evolución del derecho a la privacidad en las constituciones latinoamericanas

Desde fines del siglo XX, las constituciones latinoamericanas empezaron a incorporar mecanismos expresos de protección de datos, muchas veces mediante la acción de "habeas data": Brasil (1988), Paraguay (1992), Perú (1993) y Argentina (reforma de 1994), mientras Colombia la desarrolló primero por vía jurisprudencial. Bolivia siguió esa misma ola con la CPE de 2009, cuyo artículo 130 creó la Acción de Protección de Privacidad, el "habeas data" boliviano. Esto muestra que no es una regla aislada: el reconocimiento constitucional suele llegar antes que una ley general, y Bolivia todavía está en esa etapa.

1.2.2 Corte Interamericana de Derechos Humanos

El artículo 11 de la Convención Americana sobre Derechos Humanos (Pacto de San José, 1969) protege la honra y la dignidad, que la Corte Interamericana interpreta incluyendo la vida privada. En el caso "Miembros de la Corporación Colectivo de Abogados José Alvear Restrepo (CAJAR) vs. Colombia" (2023), la Corte examinó la vigilancia estatal ilegal de activistas y abogados, y reforzó los estándares sobre autodeterminación informativa: toda recolección estatal de datos debe tener base legal, ser necesaria y proporcional, y estar sujeta a control independiente. Como Bolivia reconoce la competencia contenciosa de la Corte, estos estándares son también una referencia directa para sus políticas públicas.

1.3 Principios de la protección de datos

1.3.1 Derechos de los titulares sobre sus datos

El derecho comparado suele agrupar estos derechos bajo la sigla ARCO: Acceso (saber qué datos tuyos existen), Rectificación (corregir datos erróneos), Cancelación o supresión (eliminarlos) y Oposición (oponerte a un uso concreto). Algunos marcos, como el GDPR que se estudia en la Unidad 2, agregan la Portabilidad. En Bolivia, el artículo 130 de la CPE ya otorga un núcleo equivalente —conocer, actualizar, rectificar, eliminar— a través de la Acción de Protección de Privacidad, incluso sin una ley general que los liste expresamente como "derechos ARCO".

1.3.2 Vulnerabilidad de datos

Una vulnerabilidad o brecha de datos ocurre cuando información personal es accedida, divulgada, alterada o perdida sin autorización, ya sea por un ataque informático, un error humano o un diseño de seguridad deficiente. En los últimos años, distintas entidades públicas y privadas de la región —bancos, telecomunicaciones, registros estatales— sufrieron filtraciones que afectaron a millones de personas, lo que demuestra que el riesgo no es teórico tampoco para la creciente economía digital boliviana. Como Bolivia no tiene una ley general que obligue a notificar estas brechas, las personas afectadas dependen hoy, sobre todo, de la Acción de Protección de Privacidad y de las reglas generales de responsabilidad civil o penal.

1.3.3 Datos personales y datos sensibles personales

"Datos personales" es cualquier información relacionada con una persona identificada o identificable (nombre, cédula, dirección, IP, fotografía). "Datos sensibles" es una categoría más estrecha que exige protección reforzada porque su uso indebido puede derivar en discriminación o daños graves: salud, orientación sexual, creencias religiosas o políticas, origen étnico, datos biométricos o genéticos. El GDPR (que se verá en la Unidad 2) prohíbe expresamente tratarlos salvo excepciones puntuales y consentimiento explícito. La Constitución boliviana no tiene una categoría explícita de "dato sensible", pero su artículo 21.2 (dignidad, honra) ofrece un anclaje constitucional que los tribunales podrían usar para exigirles una protección reforzada.

Puntos clave

  • La privacidad evolucionó de "que me dejen en paz" a la autodeterminación informativa: controlar qué pasa con tus datos.
  • La DUDH (Art. 12) y el PIDCP (Art. 17, ratificado por Bolivia en 1982) protegen la privacidad como derecho humano vinculante.
  • El Convenio 108 de Estrasburgo (1981) fue el primer tratado vinculante sobre protección de datos automatizados; Bolivia no es parte de él.
  • La CPE boliviana (Art. 130, 2009) sigue la ola latinoamericana del habeas data.
  • La Corte IDH (caso CAJAR vs. Colombia, 2023) reforzó los estándares sobre vigilancia estatal y autodeterminación informativa.
  • Los derechos ARCO (acceso, rectificación, cancelación, oposición) resumen lo que puede exigir un titular de datos.
  • Los datos sensibles (salud, orientación sexual, creencias, origen étnico, biometría) requieren protección reforzada.

Este artículo tiene fines educativos y busca explicar conceptos generales del derecho boliviano de forma didáctica, con base en normativa vigente citada; no constituye asesoría legal para un caso concreto.

← VOLVER A ASIGNATURAS