Nota de Prensa I&A - Comentarios y propuestas al Proyecto de Reglamento de la Ley de Protección de Datos Personales

Con ocasión de la invitación del Ministerio de Justicia  para la presentación de comentarios al Proyecto de Reglamento de la Ley 29733 Ley de Protección de Datos Personales, el Estudio Iriarte & Asociados presentó los siguientes comentarios y aportes pertinentes.

La publicación del Proyecto a más de un año de la publicación de la Ley de Protección de Datos personales, ha generado demasiadas expectativas no solo por el largo tiempo esperado para su presentación sino por la novedades introducidas, aun más allá de las delegadas por la Ley.

En nuestra línea de trabajo, defensa y búsqueda de equilibrio de este derecho con las nuevas industrias de desarrollo en el mercado peruano, el estudio Iriarte & Asociados, encabezó la presentación de su propuesta remarcando la protección del derecho a la protección de datos personales, sustentando lo siguiente:

La protección de datos personales es un derecho constitucional de nueva generación fortalecida para hacer frente a las nuevas vulneraciones ante la aparición de nuevas tecnologías. Considerada las normativas sectoriales que tratan y desarrollan este derecho fundamental como normas de primer mundo también por la regulación que conlleva a las industrias tecnológicas, creemos meritorio un análisis no solo a nivel de protección de la persona sino también de aseguramiento de las industrias o mercados vinculados al tratamiento de datos personales ya sea como actividad principal o accesoria como parte del desarrollo de sus funciones.

Es este marco de puntos de referencias encontramos diversas incongruencias entre las delegaciones que la Ley de Protección de datos personales (en adelante, la Ley) ha determinado para su Reglamento y el texto presentado como proyecto del reglamento de la Ley, asimismo, propuestas que estarían en contra del desarrollo de la competitividad nacional que afecta directamente a los ciudadanos y restringe una libre y ágil comprensión y ejercicio de los derechos de la protección de datos personales.

Antes de exponer nuestros comentario, deseamos recordar a la entidad encargada de la Redacción del Proyecto de Reglamento que el Perú ha tomado acciones para establecer a las tecnologías de la información como ejes estratégicos de desarrollo, aprobando el Plan de Desarrollo de la Sociedad de la Información en Perú “Agenda Digital 2.0” (Decreto Supremo 066-2011-PCM) y la Agenda Nacional de Competitividad 2012-2013, así como se incluyen en las Metas del Milenio, que nuestro país ha firmado, como instrumento de desarrollo.

Además del proceso de implementación de interoperabilidad que está desarrollando el estado peruano establecido en el Decreto Supremo N° 083-2011-PCM, mediante el cual se crea la Plataforma de Interoperabilidad del Estado (PIDE), que permite la implementación de servicios públicos en línea, donde participen dos o más entidades del Estado, a través de la cual se pueden transmitir voz, video y datos. Proceso que se vería imposibilitado en su normal desarrollo por las restricciones de cese de datos entre las mismas entidades públicas y entre privadas y públicas cuando normas pre existentes autorizan dichas transferencias.”

Expuesto el preámbulo transcrito que ilustra la necesidad de una revisión del Proyecto se expuso los siguientes comentarios y propuestas.

I.                    Las Definiciones – Exceso de atribuciones del Reglamento.

1.       Exceso de competencias.

Un reglamento se expide bajo la exacta observancia de una ley, este no debe cumplir lo mandado por la Ley que la origina y no desnaturalizar su ley fuente. Es por ello, que sugerimos una revisión tanto en la implementación de nuevas definiciones en el reglamento y la ampliación de las ya existentes en la Ley.

 

Se debe recordar que la Ley solo faculta al reglamento realizar un mayor desarrollo de las definiciones existentes en la Ley (véase párrafo final del artículo 2 de la Ley). Por ello, no se justifica la introducción de nuevas definiciones por parte del Reglamento, tales como banco de datos personales no automatizados, bloqueo, cancelación, datos personales relacionados con la salud, dirección general de protección de datos personales, emisor i exportador de datos personales, receptor o importador de datos personales, entre otros.

SUGERENCIA.

Suprimir las nuevas definiciones introducidas por el proyecto de reglamento e inexistentes en el artículo 2 de la Ley, por exceder lo autorizado por la Ley.

2.       Revisión de definiciones.

Vistas las definiciones introducidas en el artículo 2 del proyecto de Reglamento, sugerimos lo siguiente.

-          Bloqueo: La medida de prohibir todo tipo de tratamiento en este periodo resulta excesivo puesto que podría conllevar el cese del normal funcionamiento de la entidad titular del banco de datos que podría ser tanto de una entidad pública como privada.

El bloqueo solo debería limitarse para la transferencia del dato, porque se busca el cese de la publicidad de un dato que ya no corresponde a la realidad actual de este.

-          Datos sensibles: El proyecto añade nuevos tipos de datos que puedan considerarse sensibles, olvidando que estos merecen una especial protección porque su conocimiento puede generar discriminación al titular del dato además del daño irreparable que causa.

En este sentido creemos que la introducción de “hábitos personales” es inapropiada a los fines de protección que persiguen a los datos sensibles. Puesto que todos los tipos de hábitos no son datos sensibles, así mi historial de fidelidad como  cliente en una tienda de dulces si bien es un dato personal no es un dato sensible, está en la esfera de mi vida privada y no íntima.

SUGERENCIA.

Eliminación de “hábitos personales” de la definición de datos sensibles.

-          Emisor o exportador de datos personales: la transferencia internacional debe ser considerada a otro territorio diferente al peruano, por ello se debe implementar además de la palabra país el término estado y mejorar la amplitud de transferencia y protección internacional.

SUGERENCIA.

“ARTÍCULO 2.9…

una transferencia de datos personales a otro país o estado”

-          Encargado del tratamiento: Se incluye en mismo  nivel de responsabilidad del responsable del tratamiento a aquel que realiza el tratamiento por encargo del primero mencionado, cuando este “segundo encargado” es alguien que actúa bajo las directivas del responsable del tratamiento y posiblemente no actúe en toda la fase de tratamiento. Por ello no debería dársele las mismas responsabilidades que el de encargado.

SUGERENCIA.

Eliminación de la obligación establecida en el artículo 2.10 del reglamento que reconoce como encargado del tratamiento a quien actúa por encargo del responsable del tratamiento.

 

-          Rectificación: Se establece que los bancos deben ser rectificados con datos correctos. Sin embargo sugerimos que obedeciendo a la línea establecida en la Ley con el principio de calidad (véase artículo 8) se debería remplazar el término correcto por veraces y exactos.

II.                  Excepciones al ámbito de aplicación.

 

El artículo 4 de la Propuesta de Reglamento de la Ley de Protección de Datos Personales dispone los casos en los cuales las disposiciones del Reglamento no serán aplicables, supuestos que deberían ser ampliados a los siguientes puntos y reforzar la coherencia con las directrices de la Ley de Protección de Datos personales:

-          Excluir expresamente los datos referidos a las personas jurídicas[1].

-          La información relativa a las personas naturales[2] cuando haga referencia a ellas en su calidad de comerciantes o su ejercicio profesional.

1.       Exclusión de las personas jurídicas.

La protección de datos personales es un derecho que protege el desarrollo de la personalidad de las personas físicas, concebido este derecho como una protección de nivel constitucional para todas las personas naturales.

Dada la incipiente legislación peruana para la protección de este derecho, la introducción de una regulación específica va generar muchas dudas entre los administrados  y ciudadanos en general sobre el ámbito de aplicación de Ley y su norma reglamentaria.

Por ello es necesario, una dilucidación para remarcar la exclusiva competencia de la Ley de Protección de Datos Personales  y de sus normas reglamentarias que compete solo para las personas naturales y no a las personas jurídicas.

  • PROPUESTA DE INCLUSIÓN MODIFICATORIA:

“Articulo 4.- Excepciones al ámbito de aplicación.

 Las disposiciones de este reglamento no serán de aplicación a:

3. Los datos referidos a las personas jurídicas.

2.       Exclusión La información relativa a las personas naturales cuando haga referencia a ellas en su calidad de comerciantes o su ejercicio profesional.

El origen del derecho a la protección de datos personales se origina en el ámbito de la privacidad, de proteger el área  más cercana y privada de la persona, es en la evolución de garantizar el acceso solo autorizado a esta información por el individuo a quien le concierne la información personal que se independiza la protección de datos personales del ámbito de la privacidad. Pero es una independización con fines de especialización de protección, siendo la protección de esta data aun un campo que pertenece al ámbito privado de la persona. 

Las personas en sus relaciones con la sociedad exponen su personalidad a los demás no solo en su ámbito privado sino también profesional y comercial. Ambos espacios que escapan de la esfera de la intimidad de una persona, caracterizados por la necesidad de alcanzar mayores esferas o espacios de relaciones públicas para el desarrollo de sus actividades públicas sean comerciales o profesionales.

En este sentido es correcto también alentar este desarrollo de la persona en su ámbito no privado o no íntimo sino netamente público,  no restringir el avance y libre desenvolvimiento de estos ámbitos con reglas que no pertenecen a este ámbito como el de la protección de la información del ámbito personal o datos personales.

En efecto, la dimensión pública de las personas naturales, no pertenece a este tipo de protección, sino la imposición de las reglas de protección de datos personales resultaría incompatible con los propios intereses del titular del dato, pues este en su rol sea como comerciante o como profesional tiene interés en que sus datos públicos sean divulgados.

Un ejemplo, sería el caso de un abogado quien necesita que el  teléfono de su estudio sea fácilmente localizable por sus potenciales clientes. Hecho contrario sería la información relativa a su salud  que está reservada al ámbito de su intimidad que si es parte merecedora del ámbito de protección de datos personales. Este ejemplo de los ámbitos públicos y privados de una misma persona nos ilustra y demuestra una consecuencia inapropiada y atentatoria contra el normal desarrollo de la personalidad de la persona, el tratar a todos los datos que refiera a una persona natural por igual.

Por ello, sustentamos la necesidad de aclarar la exclusión los datos referentes de una persona en calidad de comerciante y profesional del ámbito de la Ley de Protección de Datos personales y sus normas reglamentarias.

  • PROPUESTA DE INCLUSIÓN MODIFICATORIA:

“Articulo 4.- Excepciones al ámbito de aplicación.

 Las disposiciones de este reglamento no serán de aplicación a:

-          Los datos relativos a las personas naturales cuando haga referencia a ellas en su calidad de comerciantes o a su ejercicio profesional.

III.                Consentimiento.

  1. Principio de consentimiento.

El artículo 7 de la propuesta de reglamento añade una nueva condición para que un consentimiento se considere válido el de ser “libre”, que además se define en el artículo 12 del proyecto dicho término.

El artículo 13.5 de la Ley ya ha definido las condiciones del consentimiento: debe ser previo, informado, expreso e inequívoco. Por lo cual si el reglamento desea regular o ampliar la regulación de las condiciones del consentimiento, esto debe ser de conformidad a la Ley tal como lo obliga el artículo 14.10 de la Ley, y no añadir nuevas condiciones no establecidas en la Ley.

Además, la Ley no ha autorizado al Reglamento dar añadidos al desarrollo de sus principios rectores, más bien manda a este que se sirva de estos como criterio interpretativo (véase artículo 12 “Valor de los principios”).

Lo cual fundamenta que el Reglamento no está autorizado a realizar agregados a los Principios rectores que además no están acorde a lo dispuesto en la Ley, en este caso a los textos que tratan el consentimiento.

SUGERENCIA.

-          Artículo 7: Eliminar la condición de “libre” para el  consentimiento.

-          Artículo 12: Eliminar como característica del consentimiento el término “libre” incluido todo su desarrollo.

 

  1. Medidas compensatorias para el consentimiento.

La Ley de Protección de Datos Personales ha redactado una protección muy especial para los datos sensibles por lo cual la Ley habilita a hacer una distinción cuando dice en su artículo 3: “son objeto de especial protección los datos sensibles”, pero esta restrictiva regulación debidamente justificada por la delicada naturaleza de los datos sensibles parece  haber sido trasladada para los demás datos personales que no necesitan ese grado de protección cayendo en una sobre regulación.

Debería preverse métodos, formas o concesiones alternos para ciertos casos que la imposibilidad de obtener un consentimiento expreso.

Por lo cual, en forma adicional o alternativa, se podrían prever medidas compensatorias, tal como se está incluyendo en el reglamento de México a través de las cuales se puede requerir el consentimiento de los particulares en casos donde el consentimiento expreso resultaría imposible.

A fin de no caer en contradicción a la ley, lo acertado sería incorporar medidas compensatorias sin hacer el uso de un consentimiento tácito que no está previsto en la Ley..

Aquí, la transcripción de algunos artículos de la reglamentación homóloga de México que resultarían de gran interés para su adaptación e inclusión:

·         SUGERENCIA:

Artículo X- A. Sobre Medidas compensatorias.

Cuando resulte imposible obtener el consentimiento expreso del titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los datos, o alguna otra consideración, el encargado o titular del banco de datos podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los supuestos que se mencionan en el artículo siguiente. Estas medidas no resultarán de aplicación en caso de tratamiento de datos sensibles.

Los casos que no se ubiquen expresamente en los supuestos previstos en el artículo siguiente  deberán ser  autorizados por la Autoridad, previo a la instrumentación de la medida compensatoria, quien tendrá un plazo de diez días siguientes a la recepción de la solicitud de medida compensatoria del responsable, para emitir la resolución correspondiente.

Si la Autoridad no resuelve en el plazo establecido, la solicitud de medida compensatoria se entenderá como autorizada.

Artículo X- B Consideración de esfuerzo desproporcionado.

Para los efectos de la aplicación de medidas compensatorias, se considerarán desproporcionados los esfuerzos cuando:

(i)                  el número de titulares de la base de datos supere los diez mil.

(ii)                el Responsable no disponga de los datos de localización actualizados del Titular para comunicarle personalmente el aviso de privacidad;

(iii)               cuando el Responsable no tenga un trato o contacto habitual o periódico con el Titular a través del cual se hubiese podido recabar el consentimiento;

(iv)              cuando los datos se hubiesen obtenido con anterioridad a la vigencia de la ley.

Artículo X- C Medidas compensatorias de comunicación masiva

Las medidas compensatorias de comunicación masiva podrán ser cualquiera de las siguientes:

  1. Publicación del aviso de privacidad en un diario de circulación nacional;
  2. Publicación del aviso de privacidad en un diario local o en una revista especializada, cuando se acredite que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad;
  3. Publicación del aviso de privacidad en una página de Internet del responsable;
  4. Publicación del aviso de privacidad en un hiperenlace o hipervínculo en una página de Internet que se habilite para dicho fin por parte de la Secretaría o del Instituto, cuando el responsable no cuente con una página de Internet propia;
  5. Publicación del aviso de privacidad a través de carteles;
  6. Difusión del aviso de privacidad en cápsulas informativas en radiodifusoras, o
  7. Otros medios alternos de comunicación masiva.

IV.                Principio de Finalidad.

La propuesta del Reglamento de la Ley de Protección de Datos personales ha introducido en el último párrafo del artículo 8  “Principio de finalidad” una obligación adicional de guardar a los profesionales de guardar el secreto profesional en el tratamiento de datos personales, obligación que es excesiva no solo por la amplitud, ambigüedad y vaga concepción sino además por la no pertinencia en el ámbito de todos los profesionales.

El secreto profesional entendido como la obligación legal de mantener en reserva la información que han recibido de sus clientes, el establecimiento de esta obligación responde al respeto en el desarrollo de la lex arti de una profesional con su cliente, por lo cual persigue una final diferente de la establecida por el deber de confidencialidad que establece la Ley de Protección de Datos Personales.

La Ley ya establece un deber de confidencialidad para todo aquel que trate datos personales, el cual responde a las obligaciones dispuestas por los principios de seguridad y finalidad, siendo diferente del campo de acción del secreto profesional que es un campo de acción diferente de las finalidades de la protección de datos  personales, el Reglamento de la Ley esta obligado a circunscribirse a la protección de este derecho y no tratar o desarrollar otros dominios, como lo sustentado en los párrafos anteriores.

Por otro lado, no puede imponerse una obligación de “secreto profesional” a aquellos profesionales que no tienen aun estas reglas establecidas o solo se rigen por usos y costumbres de su mercado laboral, razón por la cual introducir este término añadiría una laguna legislativa a muchas profesiones.

Por las razones expuestas, sugerimos que se elimine la obligación final del último párrafo del artículo 8° de la propuesta de Reglamento de la Ley de Protección de Datos Personales  que expresa “Los profesionales que realicen el tratamiento de algún dato personal, además  de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional”.

V.                  Fuentes accesibles al público.

 

Las fuentes de accesibles al público son grandes bancos de datos que pudiendo ser datos públicos o datos personales con carácter público y son accesibles por terceros, por lo cual se introduce una excepción especial para su libre acceso.

Estos datos muchas veces responden a necesidades de seguridad jurídica para relaciones entre privados, o de facilidad para el titular del dato en su relación con terceros. Bancos de datos que tanto por género y soporte publicado van apareciendo por la constante generación de información que se vive en esta era tecnológica de economía de la información.

Bajo este razonamiento se puede concluir que resulta imposible regular con coherencia y completitud las fuentes de acceso público. Aún cuando se hiciera un gran esfuerzo por relevar las mismas, éstas seguramente devendrían desactualizadas al poco tiempo de ser sancionado el reglamento.

Se recomienda la inclusión de dos supuestos adicionales (numerales 8 y 9) que contienen una fórmula actualizadora no generalizada ni vaga.

SUGERENCIA :

“Artículo 17.- Fuentes accesibles al público.

Para los efectos  del artículo  2, inciso 9 de la Ley se considerarán, con independencia de que el acceso requiera contraprestación, fuentes accesibles al público a:

2. Las guías de telefonía fija,  móvil y correos electrónicos, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica;

9. Aquellos bancos de datos personales cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa.

10. Toda información que pueda asociarse con certeza e independientemente de otra información a una persona natural determinada o razonablemente determinable relativa a su vida pública, profesional o de naturaleza comercial, así como también los datos que deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento.

El tratamiento de los datos obtenidos a través de  fuentes de acceso público deberán respetar los principios establecidos en la Ley y el Reglamento.”

VI.                Confidencialidad y seguridad (artículo 32).

El estado de seguridad de un banco de datos personales está caracterizado por la confidencialidad, la integridad y la disponibilidad de las informaciones que albergan.

Con esta introducción se pretende aclarar que la configuración de confidencialidad es parte del cumplimiento del deber de seguridad, en este establecimiento de relación se propone la introducción de un párrafo que sustente un principio de proporcionalidad  para el cumplimiento de vigilancia propuesto en el artículo 32 del proyecto de Reglamento.

Una proporcionalidad que se justifica en los diferentes sistemas, ambiente social o física, del nivel de sensibilidad de las información personal, en estos casos los numerados en el artículo mencionado, que se tratan de distintos tipos de datos por ejemplo, de carácter económico (las de facturación), de carácter de comunicación privada (contenido de sms), entre otros.

SUGERENCIA:

Artículo 32.- Confidencialidad y seguridad.

Los operadores de comunicaciones o telecomunicaciones deberán velar especialmente, por la confidencialidad, seguridad, uso adecuado e integridad de:

1. El contenido de cualquier comunicación de voz o de datos, incluyendo mensajes de texto (SMS) y multimedia (MMS), entrantes y salientes, cursados a través de las redes de telecomunicaciones o cualquier otro medio tecnológico existente o que llegara a existir, que contengan datos personales.

2. La información del tráfico de un abonado o usuario y los datos codificados y decodificados de los registros de llamadas.

3. La información de facturación de sus abonados o usuarios, así como la información sobre consumos y deudas.

4. La información referida al origen de la suspensión del servicio, distinto a la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.

La lista anterior no es limitativa, por lo que los operadores de comunicaciones o telecomunicaciones deberán velar por la confidencialidad, seguridad y uso adecuado de cualquier otro dato personal obtenido como consecuencia de su actividad.

La seguridad dependerá de la configuración de la confidencialidad, integridad y disponibilidad de la información según el nivel de sensibilidad de los datos personales.”

VII.              Derecho al tratamiento objetivo de datos personales (artículo 72).

La Ley de centrales de riesgo (Cepirs) es una excepción que la legislación peruana ha previsto para la comercialización de datos personales y se debe regir por sus propias normas tal como lo autoriza el artículo 13.9 de la Ley de protección de datos personales (relativo a la comercialización de datos personales).

·         Aporte sugerido:

“Artículo 72.-  Derecho al tratamiento objetivo de datos personales.

Para efectos del ejercicio del derecho al tratamiento objetivo de conformidad con lo establecido en el artículo 23º de la Ley, cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el titular del banco de datos o responsable del tratamiento deberá informar a la brevedad posible al titular de datos personales que dicha situación ocurre, sin perjuicio de lo regulado para el ejercicio de los demás derechos en la Ley y el presente Reglamento.

Las centrales de riesgo reguladas en la Ley se sujetarán a lo ya establecido en su legislación especial.”

La presentación de este documento es un esfuerzo más de Iriarte & Asociados para el desarrollo y correcta implementación de la Ley de Protección de Datos Personales, trabajo que viene desarrollando desde la etapa de anteproyecto de la Ley. Esperamos que los puntos expuestos sirvan de reflexión a todo aquel interesado en este campo.

IRIARTE & ASOCIADOS - División de Protección de Datos y Acceso a la Información

MAYOR INFORMACIÓN.

Si desea mayor información o realizar una consulta en relación a la propuesta normativa  relativo al tema de protección de datos personales en el Perú comuníquese con nosotros, que nuestra División especializada en Protección de Datos y Acceso a la información lo atenderá.

Área de prensa: contacto@iriartelaw.com   

Teléfonos: +511 427- 0383


[1] Personas jurídicas es la denominación utilizada en la legislación peruana para referirse a las personas morales.

[2] Personas naturales es la denominación utilizada en la legislación peruana y Ley PDP  para referirse a las personas físicas.