Por ¿Te gustan los huevos verdes con jamón? ¡No, no me gustan nada…! Es casi una respuesta mayoritaria en las empresas y otros obligados en cumplir la ya no tan novísima Ley 29733, Ley de Protección de Datos Personales cuando se comienza a tratar sus obligaciones, incluso ha merecido editoriales que han cuestionado la idoneidad de la norma para impulsar la economía peruana, pero comencemos a conocer la importancia de esta norma antes de juzgarla de alguna forma.
En el Siglo XVII, el Rey Carlos III mandó la creación del Archivo General de Indias, banco de datos de personas (de indígenas en este caso) que permitió a la corona española controlar y ordenar su administración en este lado del mundo, registro enorme que hoy nos permite conocer más de trecientos años de historia, pero hoy contamos con nuevos instrumentos y formas de recolección de datos personales de las personas, así como su uso y conservación con alcance universal como Google, Facebook, entre otros que no solo ya conocen la identificación de su usuario “X”, incluso también a los de su entorno, saben hacia dónde va, qué hace, qué prefiere y cómo, información tan apetecible que ha llevado a un país echar mano de esta información tanto para espiar a un ciudadano cualquiera hasta jefes gubernamentales (véase caso Snowden), todas son situaciones que varios países, de manera nacional o incluso comunitaria, han ido afrontando a su modo para intentar controlar usos adecuados de los datos personales de las personas y mejorar las condiciones de uso de estos para evitar vulneraciones de los custodias de esta información, el ejemplo más representativo puede ser la “Constitución de la internet” aprobado por Brasil el año pasado en el cual se pretende proteger la información de sus ciudadanos en especial cuando fueron recolectados dentro ámbito territorial brasileño y luego son trasladado o usados fuera de este.
Lo cierto, es que el tratamiento de datos personales es una actividad clave para toda entidad que brinde servicios a otros (desde una entidad pública, una corporación, un negocio digital hasta el pequeño comerciante del vecindario), que normas como la Ley 29733, Ley de protección de datos personales , en adelante Ley PDP, y sus normas complementarias en el Perú están rigiendo las condiciones para tratar esta información, regulación que no solo no es para proteger la privacidad y buen desarrollo de las personas en la sociedad, sino también para llevar al Perú cumplir metas de competitividad, elevar sus niveles de doing business y cómo no ir cumpliendo con nuestros compromisos en acuerdos internacionales comerciales[1], como concluyo el informe del proyecto de la Ley de protección de datos personales: “consecuentemente se puede colegir que no solo está en cuestión el derecho de protección de datos personales, sino también el desarrollo colateral de una industria informática en beneficio de instituciones imprescindibles para que el país continué creciendo” .
La materia de esta normativa ficticiamente novísima en el Perú, ya tiene una larga trayectoria en otros países como los países de la comunidad europea y algunos países asiáticos como Corea del Sur que incluso castiga con cárcel si no notifica un caso de data breach (mecanismo que aun ni regulamos y menos discutimos en las mesas oficiales en el ámbito privado), regulaciones internacionales muy fuertes que incluso llevan a considerar a las sanciones en materia de protección de datos como una de las más fuertes pudiendo estas superar multas del millón de euros. Países que en su momento también durante el proceso de implementación de estas normativas pronunciaron sus representantes empresariales y otros principales obligados un enérgico “Pues no me gustan nada. Los huevos verdes con jamón.” Pero que luego de un tiempo con el incremento de las industrias que entre las más rentables están las que se basan en servicios de conocimiento (honrando nuestra sociedad de la información) se han dado cuenta del potencial económico que estas regulaciones pueden representar para países que sean considerados puertos seguros en esta materia, llevándolos sea implementar mejoras de mecanismos de autoregulacion e incluso a invertir en la seguridad de datos personales en un mercado que deslocaliza sus servicios en territorios distintos de donde realiza su actividad, así buscando lo mejor para respetar la privacidad de sus clientes tantos internos como externos y facilitar la administración de este activo de la entidad, servicios tan expandidos como los de cloud computing o servicios de la nube. Inversión que responde a usuarios que buscan y exigen servicios que lo respeten y le brinden seguridad en su actividades[2], necesidad que Suiza esta pioneramente explotando con su lema “Données 100% stockées en Suisse” (Datos 100% guardados en suiza), lema que se presenta como un sello de garantía en los portales web y que está llevando a Suiza como una marca país a otro nivel.
Luego de esta introducción que trata un ángulo poco conocido en nuestro país de los beneficios de una regulación de datos personales, veamos algunas cuestiones reiterativas y necesarias a tener en cuenta durante la implementación de esta en una empresa. Pero esta vez no voy a detallar las obligaciones establecidas en la Ley PDP y en su Reglamento, sino brindar pincelazos de estas basada en las principales consultas que he recibido en estos años de consultoría legal en protección de datos personales[3].
Personas naturales protegidos. Empecemos remarcando que la Autoridad Nacional de Protección de Datos Personales, en adelante Autoridad PDP, mediante consulta ya ha estipulado respecto a las personas con negocio (como los profesionales o comerciantes con RUC que empiecen con el numero 10) que también sus datos personales son objeto de protección de la Ley PDP.
Manifestación de la voluntad. Gracias al Código civil (manifestaciones automatizadas de la voluntad) y lo continuado en el Reglamento de la Ley PDP se permite también poder colectar el consentimiento para el tratamiento de datos personales a través de medios informáticos, así que pueden usar un checkbox[4] para cumplir con la condición de consentimiento expreso, solo recuerde implementar un mecanismo técnico que permita guardar la prueba de esta acción, y si los datos a colectar incluyen datos sensibles como hábitos íntimos, datos económicos, relativos a la salud, entre otros, se exigen mayores medidas mecanismo de identificación.
Basta con solicitar al inicio de actividades el consentimiento y esta valdrá por el periodo que hayan estipulado, no es necesario volver a solicitarlo a cada acto a menos que vayan a realizar nuevos fines o exista cambio de condiciones en el tratamiento. Si la persona se niega a otorgar su consentimiento y estos datos son necesarios para cumplir obligaciones contractuales del cual esta es parte o para cumplimiento de un mandato legal (además existen otros supuestos incluido en la Ley PDP y en su Reglamento) estos se podrán seguir tratando, por ejemplo cuando un juez demanda la información salarial de este y el colaborador se opone a ello.
La Autoridad también absolvió otra consulta en la cual afirma que si un dato se consigue de una fuente accesible al público, se puede contactar al titular del dato sin previo consentimiento pero solo para solicitarle la debida autorización para el uso de sus datos, aquí debemos advertir que esto no legitima (como se han afirmado algunos) que podamos usar datos de cualquier fuente y así legitimando la obtención de cualquier banco de datos, sino debemos tener en cuenta que solo se hará de bancos de datos de origen lícito, de lo contrario no solo se estaría vulnerando el principio de legalidad de la Ley PDP sino también cometiendo un delito penal de tratamiento ilícito de datos personales, para ello tener en cuenta especialmente los artículos 154-A y 157 del Código Penal[5].
Tercerizaciones. Si contrata a un tercero para que administre en parte o totalmente un servicio de su empresa, recuerde que Ud. también comparte responsabilidad de lo que estés tercero realice con ella como cuando verifique, enriquezca, entro otros los datos del banco de datos del cual UD. es titular del banco o responsable legal de esto, para ello se recomienda establecer contractualmente las autorizaciones que tendrá este tercero y delimitar las responsabilidades que asumirá este ante tratamientos no permitidos por la legislación peruana para así reducir y en algunos caso evitar totalmente contingencias legales dependiendo del caso.
Si contrata servicios en la nube, el contrato debe contemplar obligaciones de información y trasparencia de las condiciones del tratamiento de datos que exige el Reglamento de la Ley PDP en sus artículos 34 y 35.
Bancos de datos personales. Existe un poco de dificultad para determinar los tipos de bancos de datos personales que se den inscribir en el Registro Nacional de Protección de Datos Personales, se recomienda por partir del criterio que mínimamente existen tres: el de recursos humanos, proveedores y clientes, de aquí deberemos entender que pueden existir otros según la especificidad de la finalidad de uso como el registro de visitantes o de video vigilancia, por ejemplo. En empresas que tienen un objeto más fluido en el tratamiento de bancos de datos recomiendo seguir incluso un criterio de comercialización para así en caso de venta o cesión, estos estén delimitados legalmente como por ejemplo el de la cartera de clientes deudores o el de participantes en un concurso, entre otros.
Acceso a la información. Amerita también recalcar que esta Ley no debe ser entendida ni usada para restringir de manera injustificada el ejercicio al derecho de acceso a la información pública. Los funcionarios públicos deben ser capacitados para no realizar interpretaciones que desnaturalicen la Ley PDP a costas de menguar la eficacia de la Ley de Transparencia y Acceso a la Información Pública que se dio en una época en la que los ciudadanos necesitaban un voto de reconciliación con el gobierno peruano y se incluyó esta herramienta como una de participación ciudadana en la gestión gubernamental. El equilibrio de ambas materias no es imposible sino que puede ser conciliable hasta en un mismo órgano supervisor como es el caso del INAI de México que es una autoridad autónoma constitucional que vela por la protección de ambos derechos, convirtiéndose así en una referente en la región.
También se ha argumentado que una Ley PDP evita que se realicen investigaciones que ayuden al descubrimiento de actos de corrupción o de hechos delictuosos al impedir la publicación de datos personales de terceros sin su consentimiento, pero ya la Autoridad PDP en su primera resolución sancionatoria de la Ley PDP ha contemplado otra excepción, además de las ya existentes en esta Ley y su reglamento, para el tratamiento de datos personales sin necesidad de contar con el consentimiento del titular del dato, que es el de la justificación por “interés públicos” . Así que se deberá contemplar caso por caso, en este ámbito aquí no caben supuestos generales al tener que determinar qué derecho fundamental vamos a relativizar para ponderar el bienestar de la sociedad.
La Ley de Protección de datos personales y sus normas reglamentarias no es una legislación infalible, ninguna norma lo es, pero con una adecuada orientación y compresión profesional de sus alcances y participación de todos los involucrados en su desarrollo podríamos enrumbar a un final como el del famoso poema “Huevos verdes con jamón”. [6]
Entonces, si cree que no le gustan estos huevos verdes con jamón, no te gustan nada, “¡pruébalos! ¡pruébalos! y luego lo ves”, pues solo hay que ver el probadón del plato que dieron ejemplos más cercanos, como Argentina y Uruguay quienes han obtenido hasta el reconocimiento Europeo de tener una adecuación europea en protección de datos personales, camino que ya está tentando México, y que esperemos que la Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y DDHH también enrumbe gestionando prontamente ante la Comunidad Europea, lo cual nos permitiría entrar al mercado europeo con mejores condiciones.
