Yo, empresa y Ley de Protección de Datos Personales, primera etapa

empresas_peruanas

Por Cynthia Téllez Gutiérrez

Nativos digitales, inmigrantes digitales, no importa la condición migratoria todos quienes surfean y son surfeados en internet dejan rastros sobre sí mismos de manera consciente o no, asimismo los que llenan un formulario en establecimientos, todos generamos información a sabiendas o no, pero la información  personal la que se refiere a uno mismo, a partir de 3 de julio de 2011 gracias a la Ley N° 27933 Ley de Protección de datos Personales, tendrá una protección especial.

Explicar los derechos conexos que ahora tendrán los titulares de los datos es un tema muy variado lo cual sin duda la Autoridad que controlará el cumplimiento de esta novísima Ley hará sus mejores esfuerzos, pero  quienes ahora están en una primera línea de cumplimiento para el tratamiento de esta información son los obligados, es decir las entidades privadas y públicas.

En las siguientes líneas esbozaré las primeras obligaciones que deben observar las entidades privadas en esta primera etapa de entrada en vigencia de la Ley.

Primero se debe anotar que entre otras disposiciones, a partir del día siguiente de la publicación de la Ley ha entrado en vigencia el Título II de la Ley referido al tratamiento de de Datos Personales [1].

Segundo, en referencia a este Título de la Ley se responderá en forma general lo siguientes: ¿Qué es un tratamiento? ¿Qué es un dato personal? ¿Qué entidades privadas deben cumplir?

La Ley tiene como  su objeto la protección de Datos Personales, ya reconocido en nuestra Constitución Política en el artículo 2° inciso 6, el cual está garantizado con el Habeas Data. Pero si el derecho está reconocido constitucionalmente y además existe un mecanismo de garantía, ¿Por qué una Ley? Una respuesta corta sería porque este derecho ha alcanzado tal desarrollo e independización que en desde hace mucho tiempo se reconocen derechos conexos, niveles   de protección según el tipo de información, medidas de protección técnicas, legales, entre otros, lo cual solo un reconocimiento constitucional dejaba en gran margen desprotegido a la persona, más aun con el crecimiento de las nuevas tecnologías y con ello la aparición de nuevas vulneraciones.

Por otro lado, el Estado Peruano ha adquirido obligaciones y compromisos de mejores esfuerzos mediante la adherencia a normativas, que en algunos casos son exigidas por países líderes en materia de protección de datos, países que condicionan su interacción comercial a la otra parte a tener normas de protección al menos de igual nivel. Compromisos que Perú ha adoptado de manera expresa en sus tratados de Libre Comercio (tales como Canadá y Corea) y se está comprometiendo en los que aun negocia (Comunidad Europea).[2]

En este marco de compromisos a nivel regional, el Estado Peruano ha asumido el:

Plan de Acción del eLAC 2007 que en su meta 25, , bajo el rubro “Instrumentos de Política” – “Marco Legislativo” se establece la instalación de grupos de trabajo subregionales para promover y fomentar políticas de armonización de normas y estándares, con el fin de crear marcos legislativos que brinden confianza y seguridad, tanto a nivel nacional como a nivel regional, prestando especial atención a la legislación sobre la protección de la privacidad y datos personales, delitos informáticos y delitos por medio de las TIC, spam, firma electrónica o digital y contratos electrónicos, como marco para el desarrollo de la sociedad de la información.

Plan de Acción del eLAC 2010 a través de su meta 7812  del Capítulo VI “Instrumentos de política y estrategias” plantea renovar el mandato del grupo de trabajo en materia del marco legal de la sociedad de la información para facilitar el diálogo y la coordinación de las diversas iniciativas regulatorias a nivel regional y local que pudieran favorecer la armonización normativa de la región.

Respecto a estos marcos regulatorios regionales e internacionales, se encuentra el Tratado de Libre Comercio celebrado con los Estados Unidos[3], donde el Perú como Estado Parte en el artículo 14.2 º” Acceso y Uso de los Servicios Públicos de Telecomunicaciones” del Capítulo 14º, Telecomunicaciones del Acuerdo,  garantizará que las empresas de otra Parte puedan usar servicios públicos de telecomunicaciones para mover información en su territorio o a través de sus fronteras y para tener acceso a la información contenida en bancos de datos o almacenada de forma que sea legible por una máquina en el territorio de cualquiera de las Partes. Asimismo, el Estado Parte podrá tomar medidas que sean necesarias para garantizar la seguridad y confidencialidad de los mensajes; o proteger la privacidad de datos personales no públicos de los suscriptores de servicios públicos de telecomunicaciones.

Esta última medida no deberá ser entendida de tal manera que pudieran constituir un medio de discriminación arbitraria o injustificable, o alguna restricción encubierta al comercio de servicios.

En el Tratado de Libre Comercio suscrito con Canadá[4], el estado peruano se compromete a realizar esfuerzos respecto a la protección de la información personal, así el Capítulo 15, sobre Comercio Electrónico, en el artículo   1507°  “Protección de la Información Personal” menciona el reconocimiento que hacen los Estados Partes de la importancia de proteger la información personal en el ambiente en línea. Para esta finalidad las partes deberían:

Adoptar o mantener medidas legales, reglamentarias y administrativas para la protección de la información  personal de los usuarios que participen en el comercio electrónico; y

Intercambiar información y experiencia sobre sus regímenes domésticos de protección de la información personal”.

Visto brevemente algunas justificaciones de esta Ley, abordemos la información de objeto de protección. La Ley define un dato personal a toda información sobre una persona natural que la identifica o la hace identificable a través de medios que puedan ser razonablemente utilizados. Por ejemplo, mi nombre, mi correo electrónico, mi número telefónico, entre los más conocidos.

En este punto se debe aclarar,  el objeto de la protección de datos no es la salvaguardia jurídica de estos sino de las personas que son titulares de estos, además que el titular de los datos jamás pierde la titularidad de los datos, no importa si es que ellos no lo originaron de manera directa, si lo cedieron, ya que la cesión solo es para el tratamiento de este, el titular JAMAS pierde la titularidad de su información, solo en algunos casos se podrá limitar su acceso a l titular de datos como en casos de seguridad nacional. Según la Ley peruana la limitación al ejercicio solo puede ser establecida por Ley y debe estar justificado en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos.

Para el Perú se ha establecido el tratamiento de un dato personal como cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales

Para proceder este tratamiento, las entidades privadas deberán obtener el consentimiento del titular de los datos y este debe ser:

  • Previo al tratamiento.
  • Informado, el objeto, la finalidad del tratamiento, quiénes tendrán la información, tiempo de conservación entre otras informaciones pertinentes.
  • Expreso.
  • Inequívoco, no debe caber duda, ser claro.

Si la información a tratar es sensible, se exige además que el consentimiento sea por escrito.

Este tratamiento puede efectuarse sin el consentimiento del titular si existiera una ley autoritativa al respecto.

El consentimiento otorgado por el titular de los datos, puede ser revocado por el mismo en cualquier momento, observando al efecto los mismos requisitos que con ocasión de su otorgamiento, un ejemplo sería: si se dio el consentimiento mediante vía web, la entidad que se benefició del consentimiento deberá poner a disposición del titular del dato el mismo medio (vía web) para que retire su consentimiento, y no restringiendo la revocación por ejemplo solo por medio de una solicitud escrita.

La Ley ha reservado el tratamiento de cierta información solo a las entidades públicas excluyéndola del ámbito de las entidades privadas, esto es los datos personales relativos a la comisión de infracciones penales o administrativas.

Estos datos personales solo podrán ser tratados por una entidad privada si existiera un convenio de encargo de gestión conforme a la Ley N° 27444 Ley del Procedimiento Administrativo General o la que haga sus veces.

La información de los antecedentes penales, judiciales, policiales y administrativos; luego de su cancelación no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a lo requerido por ley.

Excepciones de consentimiento.

La Ley prevé excepciones para requerir el consentimiento del titular de los datos personales, las entidades privadas no requerirán este requisito cuando:

Los datos personales están o serán contenidos en fuentes accesibles por el público[5].

Los datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley (los datos recopilados por las centrales de riesgo).

Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley Nº 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.

Los datos personales sean necesarios para la ejecución de unarelación contractual en la que el titular de datos personales sea parte.

Los datos personales que deriven de una relación científica oprofesional del titular y sean necesarios para su desarrollo o cumplimiento.

Los datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento mé­dico o quirúrgico del titular, o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud;o para la realización de estudios epidemiológicos o análogos, siempre que apliquen procedimientos de disociación adecuados.

Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea políticareligiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros. dichos datos no podrán ser transferidos sin consentimiento de aquéllos.

Si se hubiera aplicado un procedimiento de anonimización odisociación.[6]

Si el tratamiento de los datos personales sea necesario parasalvaguardar intereses legítimos del titular de datos personales.

Otros que establezca la ley o su Reglamento.

Transferencia internacional de datos personales.

Si una entidad privada (sea mediante el titular o el encargado del banco de datos personales) desea transferir los datos personales que tiene bajo su cargo hacia otro país, el país destinatario deberá tener niveles de protección adecuados exigidos por la Ley, es decir que dicho país tenga legislación de protección de datos personales al menos equiparable al previsto por la ley peruana o cumpla con los estándares internacionales en la materia.

Si el país destinatario no cuenta con un nivel de protección adecuado, el emisor del flujo transfronterizo de datos personales debe garantizar que el tratamiento de los datos personales se efectuará conforme a lo dispuesto por la presente ley. Se debe hacer con respeto de los principios rectores establecidos en la Ley, de las medidas técnicas de seguridad y confidencialidad, todo ello en concordancia según  la categoría de dato que se trate, puesto que un dato sensible requerirá mayor cautela que otro dato personal.

No se requerirá esta garantía en los siguientes casos:

Acuerdos en el marco de tratados internacionales sobre la materia en los cuales la República del Perú sea parte. Por ejemplo tratados de libre comercio  que permitan un libre comercio transfronterizo de datos personales entre las partes.

Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, incluyendo lo necesario para actividades relacionadas al mantenimiento del servicio.

Cuando se trate de transferencias bancarias o bursátiles.

Cuando el flujo transfronterizo de datos personales se realice para la protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su titular; o cuando sea necesario para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.

Cuando el titular de los datos personales haya dado su consentimiento.

Otros que establezca el reglamento de la Ley.

Deberes de resguardo.

En el título de la Ley, además del consentimiento del titular de los datos, la ley prevé otras dos condiciones para el tratamiento de los datos personales, los deberes de seguridad y confidencialidad.

Seguridad. El titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado. La Autoridad Nacional de Protección de Datos Personales establecerá dichas medidas, salvo la existencia de disposiciones especiales contenidas en otras leyes.

Confidencialidad. El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aún después de finalizadas las relaciones con el titular del banco de datos personales.

No se observará dicha obligación si media consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad pública; sin perjuicio del derecho a guardar el secreto profesional.

Estas son las primeras obligaciones que establece la Ley en esta etapa de su entrada en vigencia, sin lo cual no podrán tratar los datos personales en el territorio nacional. Por ello, las entidades privadas que ya tienen bancos de datos personales existentes antes de la vigencia de dicha Ley y las que se prevén crearse deberían tomar en cuenta estas obligaciones de requerimiento para el consentimiento del titular de los datos personales, de seguridad y confidencialidad.

Además de estas consideraciones presentadas en este artículo, pongo en su conocimiento un manual dirigido al cumplimiento de la Ley de la Protección de datos personales por parte de las entidades privadas, “Handbook N°. 6- I&A – Protección de Datos Personales Entidades Privadas” el cual ayudará a toda entidad privada obligada en esta nueva Ley entender de una manera más simple sus adecuaciones a la Ley.

Por otro lado, recomiendo no ver esta nueva legislación como una carga restrictiva, sino una oportunidad para desarrollar no solo la industria del tratamiento de datos personales (que va más allá de loscall centers), aprovechar una mejor posición dada en los tratados de libre comercio (sobre todo en marco de los capítulos de comercio electrónico), mejor trato comercial con empresas extranjeras cuyo país de origen exija un nivel de protección de datos personales, una mejora de confianza con sus clientes para cesión de sus datos personales, entre los más principales.

Publicado originariamente por la autora en la Revista Actualidad Jurídica, Gaceta Jurídica, Tomo 212, Julio 2011, Lima, pp. 31 y ss.

[1] Décimo Primera Disposición Complementaria Final.

[2] Téllez Gutiérrez, Cynthia. Una ley peruana de protección de datos personales, haciendo camino al andar, en: La revista de la Agencia de Protección de Datos de la Comunidad de Madrid, N° 48 – 30 noviembre 2010.

[3] Tratado de Libre Comercio con Estados Unidos, vigente en Perú a partir del 1 de febrero de 2009.

[4] Tratado de Libre Comercio entre el Perú y Canadá, vigente en Perú a partir del 1 de agosto de 2009.

[5] Artículo 2.9° Fuentes accesibles por el público.Bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles por el público son determinadas en el reglamento.

[6] Es decir, un tratamiento de datos personales que impida la identificación o que no hace identificable al titular de éstos. Ver artículos 2.12° y 2.13° de la Ley.