Todo tiene un valor actualmente, ya no solo mi patrimonio sino hasta lo que soy yo o lo que los demás sepan de mí aunque ni yo sepa qué tipo de información puedan obtener de lo que hago o dejo de hacer. A este último tipo de data que se considera personal, desde el año 93 goza de una protección constitucional, que en 2011 mediante la Ley de Protección de datos personales se dio mayor ámbito y claridad a este derecho y hace unos días la publicación de su Reglamento dicta y desarrolla nuevas normas que benefician y afectan no solo a las personas, sino a todos, sociedades privadas y entidades públicas.
Esta data denominada dato personal, ahora está y debe ser resguardada, ya no solo a mérito de la protección constitucional reconocida en el artículo 2 inciso 6 en nuestra Constitución política, la garantía constitucional Habeas data dispuesta en la Constitución y en el Código Procesal Constitucional, sino también por lo dispuesto en la Ley N° 29733 – Ley de Protección de datos personales[1] (Ley PDP) y en el Decreto Supremo N°0013-2013-JUS – Reglamento de la Ley N° 29733 Ley de protección de datos personales.
Sin embargo, en la Ley se delimita el ámbito de aplicación de esta, cuyo Reglamento la ha complementado, así no se le aplicaran las reglas establecidas en estos dos textos legales a los datos personales destinados o contenidos a un banco de datos personales de uso privado o familiar, o en caso de la administración publica si el banco tiene por objeto la defensa nacional, la seguridad pública y el desarrollo en materia penal para la investigación y represión del delito.
Determinar qué es un dato personal y las circunstancias de sus nuevas protecciones para los ciudadanos serán las primeras premisas a tratar, quienes y como deben comportarse ante estas nuevas reglas, tomando en cuenta las reglas más básicas dada la amplitud de reglamentación en la materia, además un punto final para determinar los efectos en la administración pública.
I. LO MÍO ES SIEMPRE MÍO
Los datos personales es toda aquella información que nos identifica o nos pueda hacer identificable a través de medios que puedan ser razonablemente utilizados, así tenemos no solo nuestros nombres y apellidos, los datos contenidos en los documentos de identidad como el DNI, el pasaporte, licencia de conducir, entre otros, los datos contenidos en una solicitud para identificar al solicitante, el sexo. El Reglamento de la Ley de Protección de datos personales, Decreto Supremo N° 0013-2013-JUS, complementa a lo mandado en la Ley de Protección de datos personales, señalando que es aquella información numérica (edad, número de DNI), alfabética (nombres, apellidos, sobrenombre), gráfica (firmas que distingan nombres), fotográfica (fotos de perfil, retratos), acústica (grabaciones de voz), sobre hábitos personales (tipos de consumo o compras). Es decir, es toda data que nos identifica y distingue como individuo.
La protección de la data de carácter personal, da al individuo disposición amplia, libre de poder determinar[2] quienes pueden acceder o tratar sus datos y quienes no deben estar autorizados, en ambos casos delimitando dichas potestades.
Este poder de decisión y protección que le da el Estado respecto a las posesiones que tengan los demás de estos datos tendrá la protección para evitar exposiciones y riesgos a los que estamos tales como los robo de identidad, extorsiones y otras formas que vulneren nuestra privacidad, asimismo poder dar una orientación correcta de la información que deseara recibir de los demás, establecer parámetros debidos para recibir publicidad, ofertas y demás servicios análogos que más de una ocasión a puede habernos simplificado la búsqueda o satisfacción de una necesidad.
A este tipo de protección, la Ley manda una especial atención y salvaguarda es al denominado dato sensible. Este tipo de dato, a nivel doctrinal es aquel cuyo conocimiento sin consentimiento del titular de este dato puede generar un daño irreparable a la persona, provocar discriminación, son todos aquellos que son parte de la esfera más íntima y reservada de un individuo.
Entre los datos sensibles están los datos biométricos que por sí mismos puedan identificar al titular, aquello que denoten el origen racial o étnico, ingresos económicos, opiniones y convicciones: políticas, religiosas, filosóficas o morales, afiliación sindical, información relacionada a la salud física o mental (salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética) que afecten su intimidad, información relacionada a la vida sexual. El Reglamento de la Ley incluye a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima.
Todos estos datos personales pueden estar organizados o no en un banco de datos personales, esta organización puede ser automatizada o no, así podemos considerar un banco de datos personales desde el tarjetero organizado encima de la secretaria de una entidad hasta los registros en soportes magnéticos de los clientes de una gran empresa.
Toda aquella actividad o procedimiento de cualquier naturaleza que se realice sobre el dato personal, sea desde su recopilación, registro, organización , extracción , consulta, difusión, interconexión con otros datos, entre otras forma de procesamientos nombrados en el artículo 2 numeral 17 de la Ley PDP, se el denominará “tratamiento de datos personales”. Son estos tipos de procedimientos, los cuales serán el eje temático y casi central de toda la regulación de la Ley PDP y su Reglamento para advertir que un dato personal está siendo usado de manera correcta según previsiones de las normas legales.
Por ello, se establece condiciones para su tratamiento y cómo en base a los derechos otorgados al titular del dato personal se logra la intervención de este bajo una tutela administrativa o jurisdiccional para lograr un debida tratamiento, asimismo sea el titular o el encargado del banco o tratamiento del dato personal debe cumplir obligaciones respecto a estos procedimientos, cuyas no observaciones será sancionadas.
II. REGLAS CLARAS EN PRINCIPIOS RECTORES
Estos son referidos a las garantías al tratamiento de los datos personales para hacerlos idóneos y seguros, son conocidos también en doctrina como principios de calidad de datos. Todos estos principios rectores servirán como criterio de interpretación para resolver aplicaciones de la Ley PDP que los expone así.
1. Principio de legalidad. Todoslos datos personales deben tratarse de manera lícita y legal, esto de acuerdo a lo establecido en la Ley PDP.
2. Principio de finalidad. También denominado principio de utilización no abusiva[3], vinculado con el anterior principio comentado, supone que sólo podrán recoger y tratar automáticamente los datos personales que sean adecuados a las finalidades legítimas para las que se hayan obtenido y que no puedan usarse a finalidad distinta por la que fue recogida.
3. Principio de proporcionalidad. Los datos personales tratados deben estar relacionados con el fin perseguido por lo que deberán de ser adecuados y no excesivos en relación con las finalidades para la que se hayan registrado.
4. Principio de calidad. Exige que los datos sean exactos y estén actualizados (o puestos al día) de forma que respondan con veracidad a la situación del afectado a fin de garantizar y proteger la calidad de la información sometida a tratamiento. Cuando los datos sean recogidos de manera directa del titular de ellos se podrá asumir que estos son exactos.
5. Principio de seguridad de los datos. El principio exige la adopción de medidas necesarias para garantizar la seguridad de los datos personales evitando su alteración, pérdida, tratamiento o acceso no autorizados, aún más si estos son de data sensible cuya vulneración de la seguridad podría tener consecuencias irreparables al afectado.
6. Principio de disposición de recurso. Al titular del dato se le debe proveer vías administrativas o jurisdiccionales para que acciones y valide sus derechos reconocidos para la protección de este derecho.
11. Principio de nivel de protección adecuado. Latransferencia de datos personales a otros países, esta debe realizarse si el país tercero está conforme al derecho interno (nacional) del país de origen de los datos, es decir, el país receptor del dato debe tener al menos el mismo nivel de seguridad, en particular las medidas teniendo en cuenta la naturaleza del dato al momento del tratamiento
III. YO, EMPRESA PRIVADA, NECESITO…
La sociedad de la información y la influencia de la Internet han cambiado la relación y la participación del ciudadano en la sociedad, en especial la contratación de diversos servicios que demandan cada vez más información para su prestación. Estas cesiones u obtenciones autorizadas o no de datos personales han provocado regulaciones especiales para proteger a la persona (física o natural) en el mundo globalizado, normas que son objeto de estudio en este trabajo y cuyas observaciones principales son las siguientes para seguir la armonía entre el doing business de la industria peruana y la protección de datos personales de la persona (el cliente, el consumidor).[4]
Las empresas o personas naturales que recopilan los datos y las van a tratar para cuenta propia serán considerados “titular de un banco de dato personal”, este titular determina la finalidad y contenido del dato.
A la persona o entidad que realizara el tratamiento de datos personales por encargo del titular del banco de datos, se le denominará “encargado del banco de datos personales”.
Sea el titular del banco de datos o en encargado del banco quien realice el tratamiento de datos personales, a este se le denominará “encargado del tratamiento”.
Estos personajes estarán obligados al cumplimiento de la Ley PDP siempre y cuando el banco de datos personales esté dentro del ámbito de la Ley mencionado al principio de este artículo, no se necesita que el establecimiento principal de la entidad esté en Perú, el Reglamento solo exige que si cualquier aspecto del tratamiento aun su solo almacenamiento, entonces el titular del banco de datos o en su encargado estarán dentro del ámbito territorial de la Ley PDP y su Reglamento.
Tanto las entidades públicas como privadas y todo aquel obligado por la Ley PDP tendrá el plazo de dos años desde la entrada en vigencia para adecuar sus bancos de datos personales según mandato de esta Ley y su Reglamento, luego de este periodo la Autoridad Nacional de Protección de Datos Personales tendrá activa su potestad sancionadora para con todos aquellos obligados que no cumplan con las disposiciones de Ley respecto a estos bancos de datos personales existentes al momento de la entrada en vigencia del Reglamento. Por lo cual, podría colegirse que esta suspensión sancionadora no regiría para los bancos de datos personales que aparezcan luego de la entrada en vigencia del Reglamento.
Estos bancos de datos personales deberán ser inscritos en el Registro Nacional de Protección de datos personales en los plazos y uso de formatos que estableciese la Autoridad, esta última aprobara los formatos próximamente y los publicara.
Entonces, la identificación interna de estos bancos de datos además de servirnos para la organización de su futura inscripción, será para la adecuación de los requisitos que deben tener todo tratamiento de datos personales para estar acorde a ley.
El consentimiento debe ser “libre”, ningún vicio de la voluntad previsto en el código civil peruano deberá haber estado presente en el momento de dar el consentimiento.
No se podrá sujetar el consentimiento al otorgamiento de algún beneficio para el caso de menores de edad.
Debe ser “previo”, es decir anterior a la recopilación del dato personal.
Ser “expreso e Inequívoco”, que no de dudas de su otorgamiento. Puede ser un expreso oral o escrito, por cualquier medio o soporte que pueda dar una constancia fidedigna que el titular del dato dio su consentimiento de forma clara y que pueda ser probada por el titular o encargado del banco de datos personales.
Además de ser “informado”, al titular de los datos personales se le debe de comunicar de forma clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente sobre la identidad de los responsables del tratamiento del dato, un domicilio donde ejercer sus derechos, las finalidades del tratamiento, modo de ejercicio de sus derechos, quienes accederán a su información y para qué fines, y solicitar consentimiento si se realizará una transferencia internacional de protección de datos personales.
Si aún no le basta esta información, le recomiendo un enlace donde encontrara algunos modelos de cláusulas para solicitud de consentimiento para el tratamiento de datos personales, cuyo enlace muestro en pie de página[5].
Aunque no se requerirá consentimiento si:
– El dato personal esta contenido o destinado a ser contenido en fuentes de acceso público, estas fuentes han sido determinadas en el Reglamento cuyas características principales son de ser de acceso libre, a todos aunque se puede cobrar una contraprestación por dicho acceso.
– Datos relativos a la solvencia patrimonial y de crédito, conforme a Ley, por ejemplo la Ley de Centrales de riesgo.
– Si existe norma que promueva la competencia en mercados regulados y sea emitida por los órganos reguladores. Esta la norma no debe ser usada en prejuicio de la privacidad del usuario.
– Cuando sea necesario para: ejecución de relación contractual, datos que deriven una relación profesional o científica y sea necesario para su desarrollo o cumplimiento.
– Datos de salud en circunstancias de riesgos o por razones de interés públicos.
-Tratamiento realizado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y que sea sobre datos de sus asociados y no pueden ser transferidos sin consentimiento del titular del dato personal.
– En caso de aplicación de procedimiento de anonimización o disociación que son procedimientos que imposibilitan el reconocimiento o identificación del titular del dato.
– Para salvaguardar los intereses legítimos del titular de los datos personales.
– Otros que se establezca por Ley PDP o en su Reglamento.
IV. DERECHOS CONEXOS A LA PROTECCION DE DATOS PERSONALES Y SUS OBLIGADOS
El derecho a la protección de datos es un derecho genérico que se sustenta de otros derechos específicos propios del derecho del titular de los datos, tales como: el derecho a acceder, el derecho a conocer, el derecho a rectificar, derecho a la oposición y derecho al tratamiento objetivo del dato, procederé a explicarlos de una manera más teórica para poder entender cuál es el espíritu de cada uno de estos derechos ya que las disposiciones tan técnicas en el Reglamento de la Ley PDP puede que no nos deje entender el espíritu de concepción de cada uno de ellos, se advierte que las descripciones siguientes son para comprender el objeto de cada derecho:
Derecho a la información o a conocer.
Este derecho reside en saber la existencia de los bancos de datos que contienen datos individuales, así como el objeto y finalidad de su existencia, la identidad del responsable o titular del banco de datos personales, y cuál es el ámbito de la circulación de los datos (nacional y/o internacional).
En un primer momento en otras legislaciones se ideó que el responsable del banco comunicara de manera personal a todos aquellos cuyos datos eran parte de dicho banco, pero cayó en desuso pues la mecánica no garantizaba una protección mayor o efectiva a los datos personales.
En la actualidad se ha remplazado por el acceso de los datos que tienen en su poder los titulares de los bancos a los afectados cuando estos últimos lo soliciten.
Derecho de acceso a los datos.
El derecho de acceso a los datos permite a los titulares de los datos indagar el contenido de la información contenida sobre ellos en un banco de datos.
Para Poullet[6], el derecho de acceso puede definirse como el derecho de la persona fichada a participar de la información sobre la imagen que las personas que lo rodean se forman de él.
Este derecho no solo permitirá el acceso a los datos sino también permitirá el control, verificar la verosimilitud de estos, verificar si son datos aportados de manera voluntaria, y en caso contrario de que no haya mediado el consentimiento verificar la licitud de la forma de obtención de estos. En caso de irregularidad de la obtención se podrá demandar la supresión de estos.
Comúnmente se le informa al afectado mediante una copia fiel del contenido de la información personal.
Pero este derecho a acceder, al menos en el funcionamiento del sector peruano y en otros Estados, no exige un acceder físico y personal de los bancos de datos personales, es decir no es ejercido in situ.
Pues comúnmente se le informa al solicitante mediante una copia fiel del contenido de la información personal.
Derechos de rectificación y cancelación.
Es posible que al acceder a sus datos, el titular de ellos compruebe que estos sean incorrectos, inexactos u obsoletos (que ya no correspondan a la realidad actual).
La Comisión Nacional de Informática y Libertad de Francia estipula que el derecho a rectificar constituye un complemento al derecho de acceso.
Para la rectificación de estos datos que no pertenecen a la realidad, ocasionan o pueden ocasionar daños al afectado, se utiliza el hábeas data (en la mayoría de las legislaciones) como el mecanismo idóneo para alcanzar esta finalidad, en nuestra legislación la Ley PDP y su Reglamento nos da un nuevo mecanismo administrativo para ello.
El ejercicio del derecho a rectificar tiene como meta a los datos personales “reales”, y no a meros juicios de valor o comentarios fundados en aquéllos[7]. Es decir, en datos objetivos que se han probado en manera fehaciente.
La rectificación debe proceder cuando los datos sean incorrectos o no se ajusten a los principios básicos de protección de datos[8] como el de principio de calidad.
Este derecho a rectificar es independiente si el error fue a causa del dolo o culpa del titular del registro.
El derecho a rectificar no debe ser confundido al de la réplica que surge cuando se trata de ataque malicioso contra la honra o contra aspectos fundamentales de la persona, o contra sus convicciones personales.
Como consecuencia del principio de veracidad o exactitud, al ser un dato inexacto (total o parcialmente) o incompleto, este debe ser cancelado y sustituido por el dato rectificado o completo[9]. La cancelación también se da cuando los datos recopilados ya no son necesarios, como señala Serrano Pérez[10] para controlar los peligros que puede acarrear una prolongada conservación de los datos personales, pues el uso de la informática permite memorizar un elevado número de informaciones personales y conservarlos por un largo periodo de tiempo, las legislaciones han previsto la sujeción de la conservación a un plazo de tiempo; pues acorde con el principio de finalidad cuando ya no son necesarios o pertinentes a la finalidad por la cual fueron registrados, estos se deben cancelar evitando una conservación indefinida.
Derecho de oposición.
En conjunto con los anteriores derechos mencionados, este derecho también garantiza al titular el control de sus datos. Sobre esta facultad, la jurisprudencia española refirió que se confiere a su titular (el afectado) un haz de facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y el empleo de tales datos.
Aparicio Salom[11] intenta delimitar la definición de este derecho ambiguo que suele confundirse con el de cancelación, explica que el derecho de oposición consiste en la negativa a la continuación del tratamiento, la cancelación genérica de los datos respecto todos los datos que pudieran estar sometidos al mismo.
Agrega que, sin embargo, el derecho de oposición también debería hacer referencia al posible rechazo de finalidades concretas a que pudieran destinarse los datos, a las que el interesado puede igualmente oponerse, y al rechazo de la comunicación de datos, frente a la cual también se oponga el interesado. Finaliza mencionando que en definitiva, parece más lógico inclinarse por una definición más genérica del derecho de oposición de la que se deriva de los preceptos de la Ley española de protección de datos personales en que se emplea el término derecho de oposición, en el sentido de incluir en dicho concepto el rechazo del interesado al uso de los datos, ya sea general, oponiéndose al tratamiento, ya sea a algún uso de los datos determinado, oponiéndose a alguna finalidad específica o la cesión de los datos.
Esta intervención del afectado es una facultad activa para que el mismo pueda exigir la oposición de la inscripción de sus datos o que estos sean retirados o borrados del banco de datos personales.[12]
Derecho al tratamiento objetivo de datos personales.
Si a un dato personal lo enriquecemos con otro tipo de data que nos pueda identificar o decir más sobre un individuo, ayudando a hacer un juicio de valor sobre la persona; este derecho brinda a que el titular del dato no sea sometido a este acto de evaluación si ello afecta de manera significativa a la persona o produce efectos legales sobre ella.
Se exceptuará si esto ocurre dentro del marco de una negociación o contrato, o en los casos de contratación en una entidad pública. Esto no limitara el derecho de la persona a defender su punto de vista.
Además si el tratamiento se realiza en un proceso de toma de decisiones sin participación del titular del dato, se le deberá avisar de dicho tratamiento, sin perjuicio de lo señalado en el ítem anterior.
V. ¿CÓMO VAMOS EN CASA?, LAS ENTIDADES PÚBLICAS
Antes que algunos empiecen a correr a entidades públicas para evitar el tratamiento de datos personales, sea porque no le pidieron su consentimiento, no está de acuerdo que las entidades comparta información que no le agrada de Ud. y demás, veamos las reglas especiales para las entidades públicas que son todas aquellas comprendidas en Ley Nº 27444, “Ley del Procedimiento Administrativo General”, en su artículo I del Título Preliminar.
El Reglamento de la Ley PDP establece que este se aplicará a toda modalidad de tratamiento de datos personales, ya sea efectuado por entidades públicas independientemente del soporte en el que se encuentren.
Aunque la Ley PDP es un poco más concesiva, manda que no está en su ámbito los datos personales contenidos o destinados a ser contenidos en bancos de su titularidad solo si el tratamiento de estos resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a cada entidad, para la defensa nacional, seguridad pública y desarrollo de actividades e materia penal para la investigación y represión del delito; el reglamento ha determinado que esta excepción del ámbito solo se aplicara cuando los datos solo tengan por objeto para la defensa nacional, seguridad pública y desarrollo de actividades e materia penal para la investigación y represión del delito. Si estas dos premisas, la de la Ley y luego la dispuesta en el reglamento le parecen un poco difusas, no se preocupe no fue el único.
Tal vez por ello, la Presidencia del Consejo de Ministros se opuso a esta disposición del “Reglamento” en sus borradores ya que podría impedir la interoperabilidad (intercambio de información) entre las entidades públicas, tal vez por ello la integración del término de la no afectación de lo mandado en la Ley y su Reglamento para los fines de la interoperabilidad, agregado que no se contemplaba en los borradores presentados públicamente antes de la publicación del reglamento.
Así vemos las salvedades para la estricta ejecución de la interoperabilidad en el artículo 11°[13] del Reglamento de la Ley y en la Disposición Complementaria Final Primera[14].
Respecto a los datos de salud, no se necesitará consentimiento en los datos relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado por establecimientos de salud o por profesionales de ciencias de la salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados[15].
Respecto a los datos de comisiones de infracciones penales administrativas, estos solo pueden tratarlos las entidades públicas, salvo convenio de encargo de gestión[16].
Se considerara como fuente accesible al público los bancos de datos de las entidades de la Administración Pública, en relación a la información que deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.
Esto no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible, se realizara una evaluación de estos datos personales en posesión de entidades de administración pública atendiendo a las circunstancias de cada caso concreto.
Para lo cual, debería tenerse en cuenta lo dispuesto en el artículo 17.5 del Texto Único de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública, referente a la información confidencial como excepción para entregar data por parte del estado, respeto y competencia debida a la especialización de esta Ley en la información de acceso pública que sí respetó la Ley PDP en Disposición Complementaria Final Octava, para respetar la definición de datos sensibles de esa Ley en su ámbito y no aplicar la estipulada en la Ley PDP. Todo en un marco de respeto a la transparencia y acceso a la información pública, No se debe dejar a un criterio amplio como podría pensarse del texto del Reglamento que podría ser aprovechado indebidamente para instalar cierta cultura de oscurantismo en el acceso a la información de entidades públicas.
Algunos casos previstos para la cooperación internacional, han sido previstos para la transferencia internacional de datos sin que sea necesario el consentimiento y cumplimiento de las exigencias de dispuestas para el flujo transfronterizo, así tenemos:
– Acuerdos en el marco de tratados internacionales y Perú sea parte.
– Cooperación judicial internacional.
– Cooperación internacional entre organismos de inteligencia para la lucha contra el i) terrorismo, ii) tráfico ilícito de drogas, iii) lavado de activos, iv) corrupción, v)trata de personas y vi) otras formas de criminalidad organizada.
– Para la ejecución de una relación contractual en la que el titular de datos personales sea parte, incluyendo lo necesario para actividades como la autentificación de usuario, mejora y soporte del servicio, monitoreo de la calidad del servicio, soporte para el mantenimiento y facturación de la cuenta y aquellas actividades que el manejo de la relación contractual requiera.
– Cuando se trate de transferencias bancarias o bursátiles.
– Si el flujo transfronterizo se realiza en el marco de la protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su titular; o cuando sea necesario para la realización de estudios epidemiológicos o análogos solo si hay un procedimiento de disociación adecuado.
– Si el titular de los datos personales lo autoriza.
Finalmente, sobre el ejercicio de los derechos del titular del dato, tanto los titulares como encargados de los bancos de datos personales de la administración pública podrán denegar el ejercicio de los derechos de acceso, supresión y oposición por:
– Razones fundadas en la protección de derechos e intereses de terceros, o
– Cuando eso obstaculice actuaciones judiciales o administrativas en curso vinculadas a una investigación de obligaciones tributarias o previsionales, investigaciones penales, desarrollo de funciones de control de salud y del medio ambiente, a la verificación de infracciones administrativas
– O cuando lo disponga la Ley.
VI. Mucho por hacer.
Antes de la emisión de la Ley PDP, expuse la siguiente reflexión: “Es un derecho de los peruanos tener una Ley de Protección de Datos Personales, es un deber del Estado cumplirlo no solo por ser el cumplimiento de un derecho constitucional, sino también una nueva puerta de acceso a mercados competitivos, a elevar nuestro nivel de competitividad con la introducción a nuevos mercados y repotenciar los ya iniciados como el de comercio electrónico, call centers, entre otros.”[17]La cual valido nuevamente para tomar estas herramientas valiosas que nos brindan la Ley PDP y su Reglamento para validar todo ello en un incremento de nuestro desarrollo como individuo y como sociedad.
Punto de competitividad que el Estado peruano también está teniendo en cuenta, ya no somos seres aislados ni podemos estarlo siempre, necesitamos que otros sepan de nosotros para brindarnos mejores servicios y de manera oportuna, claro todo ello en un marco de respetos de los derechos y principios rectores que el legislador peruano ha tratado de regular para encontrar un equilibrio con los demás actores en el tratamiento de datos personales. Así, vemos la especial consideración expuesta en la Disposición Complementaria final Segunda del Reglamento de la Ley PDP sobre “Protección de datos personales y competitividad”.
Los peruanos estamos ante nuevos conceptos, reglas y derechos que muchos no podrán comprender en un primer tiempo, que espero la Autoridad Nacional de Protección de Datos Personales pueda aminorar esta brecha de conocimientos tras año y medio de su falta de real interacción con los ciudadanos para ir introduciendo la cultura de protección de datos personales en el Perú.
Existe un régimen de transición de dos años que deben ser aprovechados diligentemente por todos los nuevos obligados para ponerse acorde a la Ley de PDP y su Reglamento, será un proceso de ensayo y error, pero muy purificador para el ordenamiento de los datos no solo para los titulares de los datos sino también para el de los titulares de bancos de datos personales que ahora tendrán mayor diligencia y conocimiento de lo que procesan.
Artículo publicado por la autora originariamente en la Revista Actualidad Jurídica, Gaceta Jurídica, Tomo 212, Julio 2011, Lima, pp. 27- 33.
[1] Publicada en El Peruano, 3 de julio de 2011.
[2] Por ello, que el derecho a la protección de datos personales es conocido también como autodeterminación informativa o libre autodeterminación informativa, libertad informática entre otros.
[3] Del Peso Navarro, Emilio; y Ramos González, Miguel Ángel.Confidencialidad y seguridad de la información: la LORTAD y sus implicaciones socioeconómicas, Díaz de Santos, Madrid, 1994, p. 94.
[4]Téllez Gutiérrez, Cynthia. “ Les principes européens du transfert international de bases de données personnelles et leurs effets dans les nouvelles législations du Pérou, de la Colombie et du Mexique. » (Mémoire), Université Lille 2, 2012, p. 9.
[5] « Clausulas modelo de solicitud consentimiento para cumplir la Ley de Protección de Datos Personales”. Disponible en internet:http://datospersonales.pe/modelo_clausula_consentimiento_pdp
[6]Poullet, Yves. Le fondement du droit à la protection des données nominatives: Propieté ou libertés, en Colloque de Montréal,noviembre, 1989, p. 12.
[7] Ekmekdjian, Miguel ángel y Pizzolo, Calogero. Hábeas data: El Derecho a La Intimidad Frente a La Revolución Informática, 1ª ed, Ediciones Desalma, Buenos Aires, 1998, p. 8.
[8] Según el Convenio Nº 108 del Consejo, de 28 de enero de 1981, de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal.
[9] Dicha medida fue recogido en el apartado 4 del artículo 4º de la LOPD española.
[10] Serrano Pérez, María Mercedes. “El derecho fundamental a la protección de datos”, en Derecho español y comparado, APDCM, Ed. Thomson/Civitas, 2003, p. 159.
[11] Aparicio Salom, Javier. Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal, Editorial Aranzadi, Elcano, Navarra, 2000, pp. 140-141.
[12]Téllez Gutiérrez, Cynthia. Tesis: “El derecho a la autodeterminación informativa en los ficheros públicos peruanos. Hacia una propuesta de aplicación para lineamientos de uniformización del contenido de portales de los ficheros públicos peruanos.”, UNMSM, 2008, p. 19 y ss.
[13] “El titular del banco de datos personales o quien resulte como responsable del tratamiento, deberá obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente reglamento, salvo los supuestos establecidos en el artículo 14 de la Ley, en cuyo numeral 1) queda comprendido el tratamiento de datos personales que resulte imprescindible para ejecutar la interoperabilidad entre las entidades públicas…”
[14] “PRIMERA.- Interoperabilidad entre entidades públicas.”
[15] Artículo 14.6° de la Ley PDP. El artículo 1° numeral 5 del Reglamento de la Ley PDP, define los “datos relacionados con la salud”.
[16] Artículo 13.8° de la Ley PDP.
[17] “Una ley peruana de protección de datos personales, haciendo camino al andar”, en Revista datospersonales.org. Disponible en Internet:
http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142616792213&esArticulo=true&idRevistaElegida=1142614520808&language=es&pag=3&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales
