Propuestas, sugerencias y comentarios al Proyecto De Reglamento De La Ley N° 29733 – Ley De Protección De Datos Personales
1. Datos de carácter personal relacionados con la salud (Artículo 2.8° del Proyecto del Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales, en adelante llamado simplemente “Proyecto de Reglamento”).
Los datos de carácter personal relacionados con la salud no solo corresponden a aquellos concernientes a salud pasada, presente o pronosticada, física o mental de una persona, incluyendo el grado de discapacidad y su información genética; sino que también incluyen a aquellos datos relacionados al dominio de la salud, razonamiento tomado en la definición del Proyecto de Reglamento.
En tal sentido, la definición contenida en el numeral 2.8 del Proyecto de Reglamento no ha previsto de manera plena la protección de la información de carácter administrativo relacionada a la salud de las personas, el mismo que pueden estar presentada por las características demográficas de las personas, situación de su aseguramiento de salud o sobre la gestión de la misma. Así tenemos, por ejemplo, el número de la seguridad social, los datos de un tratamiento específico, entre otros.
Por lo anterior, consideramos que se sería necesario incluir en la definición del artículo 2.8 del Proyecto de Reglamento, uno relativo las informaciones administrativas relativas a la salud.
• Aporte sugerido:
“8.- Datos de carácter personal relacionados con la salud: incluye toda información concerniente a la salud pasada, presente o pronosticada, física o mental, aun la relacionada a la información administrativa, de una persona, incluyendo el grado de discapacidad y su información genética.”
2. Datos sensibles (Artículo 2.9° del Proyecto de Reglamento).
Tanto la Ley de Protección de Datos Personales, como el Proyecto de su Reglamento, exponen como objeto de las mismas el garantizar el derecho fundamental de protección de datos personales, derecho expuesto en el inciso 6 del Artículo 2° de la Constitución Política del Perú.
El indicado artículo 2° de la Constitución regula, además, otros derechos fundamentales que pueden guardar relación con el derecho expuesto en la Ley, como por ejemplo el derecho a la imagen personal, al secreto de las comunicaciones y a la privacidad; pero son finalidades distintas de protección y gozan de legislación especializada y garantías propias. Por ello, tales derechos no deben ser confundidos en su relación con la protección de datos personales. Este hecho se constata en la redacción del Artículo 2.9 del Proyecto de Reglamento, motivo por el cual sugerimos eliminar algunos supuestos que no se constituyen de manera correcta como datos sensibles.
En efecto, los “hechos o circunstancias de su vida afectiva o familiar” no son datos privados, sino información privada, hecho regulado por el artículo 2.6 de la Constitución.
Sobre la inclusión del término “hábitos personales”, este es un concepto muy vago y amplio, y cualquier actividad de marketing y/o segmentación de mercado podría quedar incluida en ese concepto, que eventualmente podrían ser considerados como datos personales, pero no datos sensibles.
En forma alternativa, sugerimos modificar tal redacción por la frase “hábitos personales de la vida íntima”
• Aporte sugerido:
“9.- Datos sensibles: incluye datos personales referidos a las características físicas, morales o emocionales, los hábitos personales de la vida íntima, la información relativa a los estados de salud físicos o mentales u otras análogas que afecten su intimidad.”
3. Rectificación (Artículo 2.16° del Proyecto de Reglamento).
La Ley de Protección de Datos Personales prevé el derecho de rectificación para beneficio del titular de los datos personales.
Si bien tal derecho es uno legítimamente otorgado y justificado, el proceso de ejercicio del mismo podría acarrear ciertas dificultades prácticas para el obligado a atenderla.
En efecto, con la solicitud de rectificación se producirá todo un proceso de ejercicio de tal derecho que, en algunos casos, podría incluir el bloqueo de la información en cuestión; proceso en el cual se podrían originar acciones desproporcionadas e injustificadas de parte del solicitante, sea por motivos voluntarios o no. El inicio de la vigencia de este derecho podría llevar a confusiones al solicitante por creerse con un derecho sobre un hecho del cual no tiene sustento para el ejercicio, sobre todo cuando se cree acreedor de tal derecho por razonamiento o cuestiones subjetivas o personales que podrían estar muy alejadas de la realidad. Tales actos no solo podrían perjudicar a terceros por una rectificación que no calza con la realidad, sino también porque va en contra de una de las justificaciones de tal derecho, que es albergar datos CORRECTOS en las bases de datos de carácter personal.
Por lo expuesto, y en la concepción del ejercicio de tal derecho, se debe también caracterizar la condición de justificar debidamente la solicitud de rectificación.
• Aporte sugerido:
“18.- Rectificación: comprende como concepto genérico la acción destinada a afectar o modificar una base de datos ya sea para, actualizarla, incluir información en ella o específicamente rectificar su contenido con datos correctos, siempre que tal acción esté debidamente justificada.”
4. Ámbito de aplicación (Artículo 3° del Proyecto de Reglamento).
Una de las razones sociales de la dación de este tipo de normativa es el control de tratamientos ilícitos o fuera del orden legal que se realizan en el mercado de tratamientos de datos personales.
Es usual el agrupamiento de personas naturales para el tráfico, así como para la transferencia en el tratamiento desleal, ilícito o ilegal de los datos personales. Así vemos como ejemplo en nuestra realidad nacional, la venta de bancos de datos personales llevados a cabo por comerciantes en locales dedicados a la venta de suministros informáticos, como los ubicados en la avenida Wilson del Cercado de Lima.
Estos comerciantes no necesariamente han constituido una persona jurídica, o realizan tales actividades de manera aislada; sino que por lo general, se agrupan entre ellos para obtener de personas inescrupulosas estos datos con gran valor comercial.
Por ello, a fin de incluir a tales personas de manera más clara en las obligaciones y demás disposiciones de la Ley de Protección de Datos Personales, sugerimos necesario el complementar el texto del Proyecto de Reglamento, comprendiendo en la misma a las personas naturales que tales actividades, tanto manera individual como de manera colectiva o en forma agrupada.
• Aporte sugerido:
“Artículo 3.- Ámbito de aplicación.
El presente reglamento es de aplicación al tratamiento de datos personales contenidos en banco de datos personales o destinados a ser contenidos en bancos de datos personales;
Conforme a los dispuesto por el inciso 6 del artículo 2 de la Constitución Política del Estado y el artículo 3 de la Ley Nº 29733, Ley de Protección de Datos Personales se aplicará a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales sea de manera individual o agrupadas, entidades públicas o entidades del sector privado e independientemente del soporte en el que se encuentren.
La existencia de normas o regímenes particulares o especiales en el ámbito de la administración pública, aun cuando incluyan regulaciones sobre datos personales no excluye a las entidades públicas, a las que dichos regímenes se aplican, del ámbito de aplicación de la Ley y el reglamento.
Lo dispuesto en el párrafo precedente tampoco implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.”
5. Consentimiento (Artículo 7° del Proyecto de Reglamento).
Si bien la Ley de Protección de Datos Personales condiciona el consentimiento con la fórmula de ser libre, previo, expreso, informado e inequívoco; la aclaración de estos requisitos en el Principio de Consentimiento no estaría contemplando fórmulas de consentimiento ya previstos en el Código Civil vigente, el cual contempla un consentimiento más acorde a las necesidades y evoluciones de las nuevas tecnologías de información y comunicaciones (TIC´s).
En efecto, las TIC´s han originado múltiples cambios y nuevas necesidades para la protección de derechos, tales como el de la protección de datos personales que han derivado en la dación de la ley especializada que debe seguir la línea modernizadora de aceptar un consentimiento expreso, el cual se estaría limitando al introducir el término “directa” tal cual está contemplado en el Artículo 7° del Proyecto de Reglamento.
Dado que el Código Civil en su artículo 141-A, prevé formas de manifestación de la voluntad por medio electrónicos, los cuales pueden ser no directos, la cual tiene la misma validez que la manifestación de la voluntad por medios tradicionales. En tal sentido, y teniendo como marco una era tecnológica, la mayoría de procesos de recopilación de datos se da por medios electrónicos, motivo por el cual tornaría casi imposible de recabar tal consentimiento de forma “directa”.
Por lo antes expuesto se sugiere que sea eliminado del Proyecto de Reglamento el siguiente texto: “No se admiten formulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y clara.”
• Aporte sugerido:
“Artículo 7.- Consentimiento.
En atención al principio de consentimiento el tratamiento de los datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco.”
6. Título III - Tratamiento de Datos Personales, Capítulo I - Consentimiento.
La Ley de Protección de Datos Personales ha determinado una protección muy especial para los datos sensibles, motivo por lo cual dicha ley habilita a realizar una distinción en su Artículo 3°, específicamente en el siguiente texto: “son objeto de especial protección los datos sensibles”; pero esta restrictiva regulación, la cual está debidamente justificada por la delicada naturaleza de los datos sensibles, parece haber sido trasladada también a los demás datos personales que no necesitan tal grado de protección, cayendo en tales casos en una sobre regulación.
En tal sentido, creemos que sería necesario preverse métodos, formas o concesiones alternas para ciertos casos en donde exista una imposibilidad de obtener un consentimiento expreso.
Por ello, en forma adicional o alternativa, creemos que se podría prever medidas compensatorias, tal como se lo está incluyendo el Reglamento de la Ley de Protección de Datos de México, a través de las cuales se puede requerir el consentimiento de los particulares en casos donde el consentimiento expreso resultaría imposible.
A fin de no caer en contradicción con la Ley peruana, creemos que lo acertado sería incorporar en el Proyecto de Reglamento medidas compensatorias a tales casos, sin hacer uso del consentimiento tácito, el mismo que no está previsto en la Ley.
A manera ejemplificativa, a continuación presentamos la transcripción de algunos artículos de la reglamentación homóloga de México que, consideramos, resultarían de gran interés para su adaptación e inclusión en el Proyecto de Reglamento Peruano:
• Aporte sugerido:
“Artículo X- A. Sobre Medidas compensatorias.
Cuando resulte imposible obtener el consentimiento expreso del titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los datos, o alguna otra consideración, el encargado o titular del banco de datos podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los supuestos que se mencionan en el artículo siguiente. Estas medidas no resultarán de aplicación en caso de tratamiento de datos sensibles.
Los casos que no se ubiquen expresamente en los supuestos previstos en el artículo siguiente deberán ser autorizados por la Autoridad, previo a la instrumentación de la medida compensatoria, quien tendrá un plazo de diez días siguientes a la recepción de la solicitud de medida compensatoria del responsable, para emitir la resolución correspondiente.
Si la Autoridad no resuelve en el plazo establecido, la solicitud de medida compensatoria se entenderá como autorizada.
Artículo X- B Consideración de esfuerzo desproporcionado.
Para los efectos de la aplicación de medidas compensatorias, se considerarán desproporcionados los esfuerzos cuando:
(i) el número de titulares de la base de datos supere los diez mil.
(ii) el Responsable no disponga de los datos de localización actualizados del Titular para comunicarle personalmente el aviso de privacidad;
(iii) cuando el Responsable no tenga un trato o contacto habitual o periódico con el Titular a través del cual se hubiese podido recabar el consentimiento;
(iv) cuando los datos se hubiesen obtenido con anterioridad a la vigencia de la ley.
Artículo X- C Medidas compensatorias de comunicación masiva
Las medidas compensatorias de comunicación masiva podrán ser cualquiera de las siguientes:
I. Publicación del aviso de privacidad en un diario de circulación nacional;
II. Publicación del aviso de privacidad en un diario local o en una revista especializada, cuando se acredite que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad;
III. Publicación del aviso de privacidad en una página de Internet del responsable;
IV. Publicación del aviso de privacidad en un hiperenlace o hipervínculo en una página de Internet que se habilite para dicho fin por parte de la Secretaría o del Instituto, cuando el responsable no cuente con una página de Internet propia;
V. Publicación del aviso de privacidad a través de carteles;
VI. Difusión del aviso de privacidad en cápsulas informativas en radiodifusoras, o
VII. Otros medios alternos de comunicación masiva.”
7. Fuentes accesibles al público (Artículo 16° del Proyecto de Reglamento).
Las fuentes de acceso al público son grandes bancos de datos que, pudiendo ser datos públicos o datos personales con carácter público accesibles por terceros, justifica la introducción de una excepción especial para su libre acceso. Estos datos muchas veces responden a necesidades de seguridad jurídica para relaciones entre privados, o de facilidad para el titular del dato en su relación con terceros.
Bajo este razonamiento se puede concluir que resulta imposible regular con coherencia y en toda su extensión, las fuentes de acceso público. Aún cuando se hiciera un gran esfuerzo por relevar las mismas, éstas seguramente resultarían desactualizadas al poco tiempo de ser sancionado el reglamento.
En tal sentido, se recomienda la inclusión de dos supuestos adicionales (numerales 8 y 9) en el Proyecto del Reglamento:
• Aporte sugerido:
“Artículo 16.- Fuentes accesibles al público.
Para los efectos del artículo 2, inciso 9. de la Ley se considerarán, con independencia de que el acceso requiera contraprestación, fuentes accesibles al público a:
1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentre los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general,
2. Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica;
3. Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica;
4. Los medios de comunicación social;
5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax y correo electrónico y aquellos que establezcan su pertenencia al grupo.
En el caso de Colegios Profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional;
6. Los repertorios de jurisprudencia;
7. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos - SUNARP, así como todo otro registro o base de datos calificado como público conforme a ley;
8. La Información que deba ser entregada por las entidades de la Administración Pública a quien lo solicite en aplicación de la Ley de Transparencia y Acceso a la Información Pública, lo que no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la información Pública sea considerado información pública;
8. Aquellos bancos de datos personales cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa;
9. Toda información que pueda asociarse con certeza e independientemente de otra información a una persona natural determinada o razonablemente determinable relativa a su vida pública, profesional o de naturaleza comercial, así como también los datos que deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento.
El tratamiento de los datos obtenidos a través de fuentes de acceso público deberán respetar los principios establecidos en la Ley y el Reglamento.”
8. Confidencialidad y seguridad (Artículo 32° del Proyecto de Reglamento).
El estado de seguridad de un banco de datos personales está caracterizado por la confidencialidad, integridad y disponibilidad de la información que alberga o contiene.
Con esta introducción se pretende aclarar que la configuración de confidencialidad es parte del cumplimiento del deber de seguridad. En este establecimiento de relación se propone la inclusión de un párrafo que sustente un principio de proporcionalidad para el cumplimiento de vigilancia propuesto en el Artículo 32° del Proyecto de Reglamento.
• Aporte sugerido:
“Artículo 32.- Confidencialidad y seguridad.
Los operadores de comunicaciones o telecomunicaciones deberán velar especialmente, por la confidencialidad, seguridad, uso adecuado e integridad de:
1. El contenido de cualquier comunicación de voz o de datos, incluyendo mensajes de texto (SMS) y multimedia (MMS), entrantes y salientes, cursados a través de las redes de telecomunicaciones o cualquier otro medio tecnológico existente o que llegara a existir, que contengan datos personales.
2. La información del tráfico de un abonado o usuario y los datos codificados y decodificados de los registros de llamadas.
3. La información de facturación de sus abonados o usuarios, así como la información sobre consumos y deudas.
4. La información referida al origen de la suspensión del servicio, distinto a la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.
La lista anterior no es limitativa, por lo que los operadores de comunicaciones o telecomunicaciones deberán velar por la confidencialidad, seguridad y uso adecuado de cualquier otro dato personal obtenido como consecuencia de su actividad.
La seguridad dependerá de la configuración de la confidencialidad, integridad y disponibilidad de la información según el nivel de sensibilidad de los datos personales.”
9. Tratamiento de datos personales en cómputo en la nube o “cloud computing”. (Artículo 35° del Proyecto de Reglamento).
La transferencia de datos personales ha sido definida en la Ley de Protección de Datos Personales, pero está definición no ha sido esclarecida para nuevos supuestos introducidos en el Proyecto de Reglamento, como el de “cloud computing”.
Por ello creemos que resulta necesario determinar una aclaración respecto de la definición de transferencia internacional de datos personales, a fin de determinar si la misma es una que comprenda los servicios de cloud computing o no.
Dado que el lugar de almacenamiento de la información en los servicios de cloud computing es desconocido en la mayoría de las veces, resulta difícil determinar si en tales casos se trata una transferencia internacional de datos o no y, por tanto, determinar las reglas aplicables se dificultaría enormemente.
De otro lado, respecto al término cómputo en la nube o “cloud computing”, el Proyecto de reglamento es tal vez la primera legislación de la región que se atreve a regularlo y a proponer una conceptualización del mismo. Sin embargo, el Proyecto de Reglamento lo señala sin dar una definición precisa del mismo, lo cual consideramos imprescindible a fin de distinguir dicho servicio de otros similares.
No obstante lo anterior, sería recomendable que el tratamiento del servicio de cloud computing se diera en una ley o disposición especial, por lo extenso y complejo que resulta el tema, y así evitar un tratamiento incipiente e incompleto en el Reglamento del Proyecto. Por tales consideraciones recomendamos la eliminación, por esta ocasión, de toda referencia al servicio de cloud computing del Reglamento de la Ley.
• Aporte sugerido:
Eliminar el Artículo 35° del Proyecto de Reglamento referido a los servicios de cloud computing.
10. Derecho al tratamiento objetivo de datos personales (Artículo 72° del Proyecto de Reglamento).
La Ley de Centrales de Riesgo (CEPIRS) es una excepción que la legislación peruana ha previsto para la comercialización de datos personales y se debe regir por sus propias normas, tal como lo autoriza el artículo 13.9 de la Ley de Protección de Datos Personales (relativo a la comercialización de datos personales).
• Aporte sugerido:
“Artículo 72.- Derecho al tratamiento objetivo de datos personales.
Para efectos del ejercicio del derecho al tratamiento objetivo de conformidad con lo establecido en el artículo 23º de la Ley, cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el titular del banco de datos o responsable del tratamiento deberá informar a la brevedad posible al titular de datos personales que dicha situación ocurre, sin perjuicio de lo regulado para el ejercicio de los demás derechos en la Ley y el presente Reglamento.
Las centrales de riesgo reguladas en la Ley se sujetarán a lo ya establecido en su legislación especial.”
| Adjunto | Tamaño |
|---|---|
| Comentarios al proyecto de Reglamento Ley PDP - I&A v1.pdf | 182.64 KB |
Boletines
- Boletín Corporativo
- Boletín Cybercrimen
- Boletín Derecho Tributario
- Boletín Gobierno Electrónico
- Boletín Laboral
- Boletín Medio Ambiente
- Boletín Propiedad Intelectual / Patrimonio Cultural
- Boletín Protección de Datos Personales
- Boletín Tecnologías de la Información
- Boletín Telecomunicaciones
- Handbook
- Guías de derecho de autor
Últimos posts
-
17/04/2023 - 14:50
-
28/02/2023 - 07:33
-
28/09/2022 - 18:21
-
28/08/2022 - 12:29
-
27/07/2022 - 16:17
-
24/02/2022 - 12:54
Más...
