Comentarios de ONG Alfa Redi al proyecto de Reglamento de Protección de Datos Personales

Documento que incluye nuestra carta presentada al Ministerio de Justicia y Derechos Humanos, en el PDF adjunto.

La persona debe ser protegida de toda vulneración que puede ser objeto sus derechos fundamentales, sobre todo aquellos cuya finalidad es proteger y permitir el normal desarrollo de la personalidad del individuo.

Permitir que la persona sea dejada en paz en su ámbito más cercano, preservar su privacidad de injerencias externas no deseadas o permitidas por la persona, protección reconocida con el derecho a la privacidad tanto familiar como individual.

Sin embargo, en el continuo desenvolvimiento de la persona en la sociedad necesita para el desarrollo de su personalidad interactuar con los otros miembros de esta, realizar continuos intercambios de toda naturaleza según sus necesidades, permitir que lo conozcan y así ser reconocido y para ello da concesiones sobre la información de sí mismo a terceros.

Esta liberación de información sea directa o indirecta, es protegida por la protección de datos personales, derecho que admite restricciones porque entiende coexisten otros derechos para asegurar una sociedad en paz y con seguridad jurídica para los demás actores de la sociedad.

Es este ámbito de excepciones y concesiones, la Comisión encargada de la redacción del Reglamento debe valorar adecuadamente las reglas de esta, tener en cuenta principios como el de especialidad para delimitar el ámbito de aplicación de la Ley de protección de datos personales ante leyes especiales existentes con anterioridad, el respeto a compromisos para la facilitación de libre y seguro intercambio de información en los capítulos de comercio de comercio electrónico estipulados en los Tratados de Libre Comercio, respeto y seguimiento del plan del Estado para la modernización e interoperabilidad de la administración pública que permitirá intercambio de información entre estas entidades para conocer y agilizar las demandas de sus ciudadanos administrados, estos puntos entre los más importantes.

Esta breve exposición de los puntos críticos a tener en cuenta para orientar el reglamento bajo comentario y seguir el respeto de las directrices y delegaciones dada por la Ley de Protección de datos personales, exponemos los siguientes comentarios y propuestas.

I.                   Falta de competencia para crear nuevas definiciones.

La Ley N° 29733, Ley de Protección de datos personales mediante su artículo 2 solo delega a su reglamento lo siguiente: “El reglamento de esta Ley puede realizar un mayor desarrollo de las definiciones existentes.”

Sin embargo, en el desarrollo del artículo 2 del proyecto de reglamento se resalta la gran aparición de definiciones de términos no existentes en la Ley ni contempladas en el artículo 2 de dicha Ley.

Motivo por lo cual, se sustenta la pertinencia de suprimir todas aquellas definiciones propuestas por el Reglamento y que no sean existentes en el artículo 2 de la Ley.

II.                Ámbito de aplicación.

El segundo párrafo del artículo 3 de proyecto dispone que “La existencia de normas o regímenes particulares o especiales, no excluye a las entidades públicas o instituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del presente reglamento”. Luego, en párrafo siguiente aclara que dicha afirmación implica la derogatoria de estas normas si no contradicen la Ley de protección de datos y su reglamento, en este mismo sentido se regula la “aplicación de legislación específica” en el artículo 58 del Proyecto.

La fórmula del párrafo segundo  del artículo 3 no generaría problemas con las normas de rango inferior a la Ley, sin embargo las normas que tienen el mismo rango de que la Ley de protección de datos personales  y aun las más las pre-existentes a la Ley se generaría un conflicto para determinar la aplicación de la ley adecuada.

Esta fórmula esta ignora y está en contradicción del “principio de especialidad”, el cual establece que la norma especial prima sobre la norma general. Por tanto se debe incluir una salvedad para una aplicación supletoria de la Ley de protección de datos y su reglamento en caso de leyes que contengan una regulación específica sobre el tratamiento de datos personales. Leyes tales como la Ley 27489, Ley que Regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información (Ley de Cepirs). Principio que ha sido respetado por la Ley, por ejemplo la no aplicación de la definición de “datos sensibles” a la Ley de Cepirs[1].

En ese sentido, no se justifica que en el Reglamento siendo una norma de rango inferior a las leyes  pretenda ampliar el ámbito de aplicación de la Ley de manera indebida y más aun sin tener dicha delegación por parte de la Ley.

Por lo cual recomendamos:

-                     eliminar en su totalidad el texto del segundo párrafo del artículo 3 del proyecto de Reglamento de la Ley de Protección de datos personales, o

-                     incluir texto que reconozca la aplicación supletoria de la Ley en caso de leyes especiales que regulen datos personales tanto en los artículos 3 y 58 del proyecto de Reglamento.

III.             Excepciones al ámbito de aplicación.

El artículo 4 de la proyecto de Reglamento de la Ley dispone los casos en los cuales las disposiciones del Reglamento no serán aplicables, supuestos que deberían ser ampliados a los siguientes puntos y reforzar la coherencia con las directrices de la Ley de Protección de Datos personales:

-                     Excluir expresamente los datos referidos a las personas jurídicas[2].

-                     La información relativa a las personas naturales[3] cuando haga referencia a ellas en su calidad de comerciantes o su ejercicio profesional.

1.                 Exclusión de las personas jurídicas.

La protección de datos personales es un derecho que protege el desarrollo de la personalidad de las personas físicas, concebido este derecho como una protección de nivel constitucional para todas las personas naturales.

Dada la incipiente legislación peruana para la protección de este derecho, la introducción de una regulación específica va generar muchas dudas entre los administrados  y ciudadanos en general sobre el ámbito de aplicación de Ley y su norma reglamentaria.

Por ello es necesario, una dilucidación para remarcar la exclusiva competencia de la Ley de Protección de Datos Personales  y de sus normas reglamentarias que compete solo para las personas naturales y no a las personas jurídicas.

·                    Propuesta de inclusión modificatoria:

“Articulo 4.- Excepciones al ámbito de aplicación.

 Las disposiciones de este reglamento no serán de aplicación a:

3. Los datos referidos a las personas jurídicas.
 

2.                 Exclusión La información relativa a las personas naturales cuando haga referencia a ellas en su calidad de comerciantes o su ejercicio profesional.

El origen del derecho a la protección de datos personales se origina en el ámbito de la privacidad, de proteger el área  más cercana y privada de la persona, es en la evolución de garantizar el acceso solo autorizado a esta información por el individuo a quien le concierne la información personal que se independiza la protección de datos personales del ámbito de la privacidad. Pero es una independización con fines de especialización de protección, siendo la protección de esta data aun un campo que pertenece al ámbito privado de la persona. 

Las personas en sus relaciones con la sociedad exponen su personalidad a los demás no solo en su ámbito privado sino también profesional y comercial. Ambos espacios que escapan de la esfera de la intimidad de una persona, caracterizados por la necesidad de alcanzar mayores esferas o espacios de relaciones públicas para el desarrollo de sus actividades públicas sean comerciales o profesionales.

En este sentido es correcto también alentar este desarrollo de la persona en su ámbito no privado o no íntimo sino netamente público,  no restringir el avance y libre desenvolvimiento de estos ámbitos con reglas que no pertenecen a este ámbito como el de la protección de la información del ámbito personal o datos personales.

En efecto, la dimensión pública de las personas naturales, no pertenece a este tipo de protección, sino la imposición de las reglas de protección de datos personales resultaría incompatible con los propios intereses del titular del dato, pues este en su rol sea como comerciante o como profesional tiene interés en que sus datos públicos sean divulgados.

Un ejemplo, seria el caso de un abogado quien necesita que el  teléfono de su estudio sea fácilmente localizable por sus potenciales clientes. Hecho contrario seria la información relativa a su salud  que esta reservada al ámbito de su intimidad que si es parte merecedora del ámbito de protección de datos personales. Este ejemplo de los ámbitos públicos y privados de una misma persona nos ilustra y demuestra una consecuencia inapropiada y atentatoria contra el normal desarrollo de la personalidad de la persona, el tratar a todos los datos que refiera a una persona natural por igual.

Por ello, sustentamos la necesidad de aclarar la exclusión los datos referentes de una persona en calidad de comerciante y profesional del ámbito de la Ley de Protección de Datos personales y sus normas reglamentarias.

·                    Propuesta de inclusión modificatoria:

“Articulo 4.- Excepciones al ámbito de aplicación.

 Las disposiciones de este reglamento no serán de aplicación a:

-                     Los datos relativos a las personas naturales cuando haga referencia a ellas en su calidad de comerciantes o a su ejercicio profesional.

 

IV.             Principio de consentimiento y características del consentimiento.

Los artículos 7 y 12 del proyecto de Reglamento, introducen una nueva condición o características para la obtención del consentimiento el de ser “libre”, por ende para considerar su obtención de lícita. Introducción que no se justifica ni se encuentra autorizada doblemente por las siguientes razones.

-                     La Ley señala que “Los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de reglamento”. Por lo cual no hay fundamento para que en el Reglamento se pretenda incluir nuevos elementos y condiciones a los principios de la Ley, más aun cuando la Ley determina de manera expresa que su reglamento debe implementarse respetando los principios rectores de la Ley y no de manera inversa.

-                     El artículo 13. 5 de la Ley determina que: “El consentimiento debe ser previo, informado, expreso e inequívoco.”  Solo se autoriza al reglamento  realizar una reglamentación especial en caso del tratamiento de datos personales de los niños y adolescentes en artículo 13.3 de la Ley. Es decir, el Reglamento no puede modificar las condiciones del tratamiento establecidas en la Ley

Se propone la eliminación del término “libre” como condición o característica del consentimiento y su desarrollo establecido en el reglamento, de manera especial de los artículos 7 y 12 del proyecto de Reglamento.

V.                Principio de finalidad y secreto profesional.

La propuesta del Reglamento de la Ley de Protección de Datos personales ha introducido en el último párrafo del artículo 8  “Principio de finalidad” una obligación adicional de guardar a los profesionales de guardar el secreto profesional en el tratamiento de datos personales, obligación que es excesiva no solo por la amplitud, ambigüedad y vaga concepción sino además por la no pertinencia en el ámbito de todos los profesionales.

El secreto profesional entendido como la obligación legal de mantener en reserva la información que han recibido de sus clientes, el establecimiento de esta obligación responde al respeto en el desarrollo de la lex arti de una profesional con su cliente, por lo cual persigue una final diferente de la establecida por el deber de confidencialidad que establece la Ley de Protección de Datos Personales.

La Ley ya establece un deber de confidencialidad para todo aquel que trate datos personales, el cual responde a las obligaciones dispuestas por los principios de seguridad y finalidad, siendo diferente del campo de acción del secreto profesional que es un campo de acción diferente de las finalidades de la protección de datos  personales, el Reglamento de la Ley está obligado a circunscribirse a la protección de este derecho y no tratar o desarrollar otros dominios, como lo sustentado en los párrafos anteriores.

Por otro lado, no puede imponerse una obligación de “secreto profesional” a aquellos profesionales que no tienen aún estas reglas establecidas o solo se rigen por usos y costumbres de su mercado laboral, razón por la cual introducir este término añadiría una laguna legislativa a muchas profesiones.

Por las razones expuestas, sugerimos que se elimine la obligación final del último párrafo del artículo 8° de la propuesta de Reglamento de la Ley de Protección de Datos Personales  que expresa “Los profesionales que realicen el tratamiento de algún dato personal, además  de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional”.

VI.             Negación y revocación del consentimiento.

El artículo 16 del proyecto de Reglamento establecería que el titular del dato puede revocar  su consentimiento para el tratamiento de sus datos personales en cualquier momento, sin justificación previa y sin que le atribuyan efectos retroactivos; concesión que podría ser utilizada de manera abusiva y en detrimento de intereses legítimos de terceros si no se establece ciertos límites.

Asi por ejemplo, debería establecerse excepciones en caso:

-                     Se evidencie un comportamiento por parte del titular del dato que busque evadir una obligación contractual contraída debidamente por este.

-                     Que la ley condicione la libre revocación del consentimiento.

VII.          Flujo transfronterizo de datos.

El artículo 25 del proyecto de reglamento permite al exportador de datos personales el uso de cláusulas contractuales u otros instrumentos jurídicos “en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto”.

A nivel internacional, existen varias fórmulas de protección de datos personales tales como las establecidas en el modelo europeo y noteramericano, ambos de alta consideración como estándares internacionales de protección pero que contienen las mismas obligaciones pero si contienen formulas equiparables, expresión que ha sido recogida en el artículo  11 de la Ley “Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia”.

Entonces, no se fundqmento la pretensión de proyecto de Reglamento de imponer una formula restrictiva para el flujo transfronterizo de datos personales, desconociendo que existen mercados gigantes que gozan con una mejor regulación que la nuestra y que imponer una regla como la formulada en el artículo 25 del proyecto de Reglamento se cerraría el acceso e ingreso de y a industrias generadores no solo de empleos en el Perú sino con capacidad de proporcionar servicios de necesidad de la ciudadanía peruana.

Motivo por el cual se sugiere el siguiente cambio de la mencionada parte del artículo 25 a:

en los que se establezcan cuando menos obligaciones que garanticen un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la  Ley o por los estándares internacionales en la materia”.

VIII.       Contradicciones para el cumplimiento de entrega de información al titular de datos.

Los artículos 54  y 63 del proyecto de Reglamento presenta una contradicción respecto de la amplitud de la información que se debe entregar al titular del dato en caso solicite conocer el contenido de su data en un banco de datos personales.

De un lado, el artículo 54 dispone que en la respuesta que emita el titular del banco de datos o responsable del tratamiento deberá  “referirse únicamente a aquellos datos que específicamente se hayan indicado en su solicitud [del titular del dato[4]]…”.

De otro lado, el articulo 63 dispone que el contenido de la información “que con ocasión del ejercicio del derecho de acceso se ponga disposición del titular de los datos personales, debe ser amplia y comprender la totalidad del registro correspondiente al titular de datos personales, aun cuando el requerimiento solo comprenda un aspecto de dichos datos”.

Por lo cual se recomienda expresar que existe una excepción en el artículo 54 en caso del ejercicio del derecho de acceso como se dispone en el artículo 63. Así, evitar posibles confusiones para la correcta atención del titular o encargado del banco de datos al titular del dato personal.

Agradecemos la atención para la lectura de estos comentarios y propuestas, y esperamos que sirvan para la colaboración de una apropiada protección de los datos personales en el Perú en respeto del espíritu de la legislación constitucional y Ley de Protección de datos personales  ya existentes; asimismo seguir alentando la regulación en la materia siguiendo el equilibrio de derecho constitucional y protección de la industria del tratamiento de datos personales en el Perú.


[1] Octava Disposición  Complementaria Final.

[2] Personas jurídicas es la denominación utilizada en la legislación peruana para referirse a las personas morales.

[3] Personas naturales es la denominación utilizada en la legislación peruana y Ley PDP  para referirse a las personas físicas.

[4] Referente al ejercicio sus derechos de información, acceso, rectificación, cancelación o supresión, oposición y tratamiento objetivo de datos personales.

 

AdjuntoTama√Īo
Comentarios de Alfa Redi al proyecto de Reglamento de Protección de Datos Personales169.65 KB