La Autoridad Nacional de Protección de Datos Personales (ANDP) ha hecho pública las resoluciones que declaran fundada la reclamación contra el sitio web datosperu.org y lo sancionan. Así, tenemos el primer caso peruano de sanción por infracción a la Ley de Protección de Datos Personales.
La Autoridad Nacional de Protección de Datos Personales (ANDP) ha hecho pública las resoluciones que declaran fundada la reclamación contra el sitio web datosperu.org y lo sancionan. Así, tenemos el primer caso peruano de sanción por infracción a la Ley de Protección de Datos Personales.
Las Resoluciones Directorales N°074-2014-JUS/DGPDP y N°075-2014-JUS/DGPDP de la Dirección General de la Protección de Datos Personales (DGPDP) han resuelto dos reclamo que solicitaban ejercer su derecho de cancelación respecto a una publicación ubicada en el sitio web datosperu.org
Ambos reclamos apuntaban a que al sitio web retire sus datos personales publicados en él, pero no habían recibido atención alguna de la petición por parte del sitio web. Por ello, recurrieron a la ANDP.
La Autoridad aceptó el reclamo. ¿Cómo habían obtenido dichos datos en datosperu.org? Porque habían sido publicados primero en el Diario El Peruano. Este detalle es importante, pues analizando las resoluciones concluimos que la publicación web de las normas legales que contienen información personal de una persona natural, constituye una forma de tratamiento de datos personales, pues existe transmisión y difusión de los datos.
Siguiendo con el detalle de las resoluciones, se argumenta que la sanción se da porque datosperu.org usó los datos sin el consentimiento de los titulares. La información publicada previamente en El Peruano no constituye información de hechos públicamente relevantes ni de “interés general”, pues los reclamantes no desarrollan actividades públicas. Entonces, no hay justificación para afectar la privacidad de los ciudadanos reclamantes y el portal debió anonimizarla. El sitio web permite que se indexe los datos con buscadores de internet, disposición de información que no se da en el sitio web del diario oficial El Peruano.
Adicionalmente la Autoridad detectó que la información de la Política de Privacidad de datosperu.org consigna información falsa que no permite que una persona pueda ejercer debidamente sus derechos a la protección de datos personales.
Domicilio desconocido
La Autoridad no pudo ubicar al reclamado, por lo que publicó en el Diario Oficial El Peruano y en otro de circulación nacional la notificación, esperando que el reclamado tome conocimiento y responda, pero no tuvo éxito.
En la tarea de ubicar al reclamado la Autoridad realizó consulta en WHOIS de la ICANN, sin embargo consideró que la información brindada era incompleta e incorrecta por la forma de la muestra de los datos.
Medidas correctivas
La Autoridad en ambas resoluciones ha dispuesto medidas correctivas a fin de salvaguardar el derecho a la cancelación de datos de los reclamantes. Medidas como anonimización de las normas legales publicadas o el bloqueo y eliminación de las mismas, son mecanismos válidos para que los usuarios de internet puedan ejercer sus derechos a la protección de datos personales (Derechos ARCO) y se adopten políticas de privacidad y confidencialidad válidas.
Sanciones
La Autoridad ha impuesto una sanción de 15 UIT por cada infracción cometida contra la Ley de Protección de datos personales. Por la comisión de cuatro infracciones datosperu.org deberá pagar alrededor de S/. 228,000 Nuevos Soles (aproximadamente USD 78,620.00 dólares americanos).
Reflexiones
Es la primera sanción aplicada por la Autoridad y en ella se han fijado parámetros de “interés general” del contenido de una norma legal, indexaciones de información que puede hacer un sitio web y razonamiento de un responsable de un sitio web para considerar cuando la información de alguien ya es inexacta. Estas medidas jurisprudenciales irán complementando los criterios de interpretación en la legislación en materia de protección de datos personales.
Sobre las medidas correctivas de exigir la anonimización y eliminación de una publicación pueden ser medidas algo despistadas, pues al eliminar una publicación ya no se puede anonimizar su información.
La Autoridad ha comenzado su labor sancionadora y es necesario que los obligados a cumplir las disposiciones de la Ley de Protección de Datos Personales sean más conscientes sobre sus deberes frente a un derecho tan fundamental: la protección de datos.
Los invitamos a consultar nuestro Handbook Nº6 – Protección de Datos Personales, Entidades Privadas.
Texto de las Resoluciones Directorales de procedimientos trilaterales de tutela. Puede consultar el texto de estas en:
http://www.datospersonales.pe/RD0742014 http://www.datospersonales.pe/RD0752014
Ver Antecedente: Suma Ciudadana y Alfa-Redi presentan carta a MINJUS (incluye respuesta de Autoridad de Datos Personales sobre datosperu.org (en 2012)
Si tiene alguna consulta o duda respecto a la normativa peruana en materia de protección de datos personales, no dude en contactarse con nosotros.
Nuestra División especializada en Protección de Datos y Acceso a la información estará a la espera de su comunicación.
Contacto: pdp@iriartelaw.com
