Cyberlaw

Abel Revoredo

La protección de datos personales

El 3 de julio de 2011 se publicó en el Diario Oficial “El Peruano” la Ley de Protección de Datos Personales (Ley 29733) mediante la cual se recogieron los derechos, principios y obligaciones relacionadas con la recolección, tratamiento y protección de los datos personales de los ciudadanos. Casi 2 años después, el 22 de marzo último, mediante Decreto Supremo No. 003-2013-JUS se aprobó el Reglamento de la Ley (Ver aqui) en donde se desarrollaron y se estableció la forma de aplicación de las disposiciones de aquella. Este 8 de mayo entra en vigencia el Reglamento, pero las empresas que cuenten con Bancos de Datos tienen 2 años para adecuarlos a estas normas. En este post trataremos de destacar las principales disposiciones de las mismas y su forma de aplicación así como las preguntas que nos surgen de su lectura y los principales problemas que prevemos tendrán que afrontar las empresas que sean titulares de Bases de Datos.
En primer lugar debemos destacar que ambas normas establecen definiciones que resultan indispensables para su correcta interpretación y aplicación. Entre ellas, quisiera comentar la definición de “datos personales” y la preocupación que nos provoca su amplitud pues, conforme a lo que señala el Reglamento, se considera “dato personal” a cualquier información que identifique o permita hacer identificable a una persona. Lo mismo sucede con la definición de “datos sensibles” pues, de igual forma, contiene un listado sumamente amplio de este tipo de datos y concluye señalando que cualquier otro dato que afecte la intimidad del titular también tendrá aquel carácter. En ese sentido, todo pareciera indicar que, en el futuro, la autoridad encargada de la aplicación de estas normas gozará de suficiente discrecionalidad para completar dichas definiciones dejando a los administrados sujetos sus interpretaciones. 
Otro aspecto interesante de estas normas es el establecimiento de una serie de principios que deben regir su aplicación e interpretación y que se encuentran relacionados con los derechos de los titulares de los datos, las obligaciones de los titulares de los bancos de datos y con el rol de la entidad del Estado encargada de su aplicación. Estos principios son los siguientes:
  • Legalidad: El tratamiento de datos personales debe hacerse de acuerdo a Ley.
  • Consentimiento: Para el tratamiento de datos personales es indispensable contar con el consentimiento del titular de los datos. El consentimiento debe ser libre, previo, expreso, informado e inequívoco.
  • Finalidad: La recopilación de datos debe tener una finalidad determinada, explícita y lícita. El tratamiento de los datos debe sujetarse a la finalidad inequívocamente expresada al momento de su recopilación. Adicionalmente, en el caso de datos sensibles, se requiere que la finalidad sea acorde a las actividades o fines del titular del Banco de Datos.
  • Calidad: Los datos personales deben ser veraces, exactos, actualizados, necesarios, pertinentes y adecuados a la finalidad para la que fueron recopilados. Se presume que los datos proporcionados por el titular de los mismos son exactos.
  • Seguridad: El titular del Banco de Datos debe adoptar las medidas de seguridad necesarias para evitar cualquier tratamiento contrario a la Ley o el Reglamento.
  • Disposición de Recurso: El titular de los datos personales debe contar con las vías administrativas y judiciales necesarias para reclamar o hacer valer sus derechos.
  • Nivel de protección adecuado: El flujos transfronterizo de datos debe estar sujeto a un nivel de protección suficiente o, por lo menos, equiparable a lo establecido en la Ley.
Mención aparte merece la regulación del “consentimiento” en estas normas pues, como hemos visto en los principios antes señalados, el consentimiento no sólo debe ser libre, previo, expreso, informado e inequívoco (términos a los que la Ley y el Reglamento dedican algún tiempo); sino que, además, debe ser específico para los tratamientos expresados por el titular del Banco de Datos, destinado únicamente a la transferencia nacional o internacional autorizada en su recolección y sujeto al derecho de revocarlo en cualquier momento.
Sobre el tema del consentimiento debemos resaltar algunos conceptos recogidos en las normas bajo comentario. Por ejemplo, la entrega de obsequios o beneficios no afectan la condición de libertad (salvo en el caso de menores de edad); pero el condicionamiento de la prestación de un servicio a la previa entrega de los datos si afecta la libertad y no se encuentra admitido. Además, las condiciones en que se otorgue el consentimiento no deben admitir dudas sobre su otorgamientos y puede ser verbal o escrito, en el mundo digital se acepta el consentimiento por “click”, el uso de firmas electrónicas o usando textos preestablecidos.
No obstante ello, existen excepciones al consentimiento sobre las que, creemos, se producirá frondosa discrepancia y discusión en los próximos meses o años. Así, no se requiere consentimiento para el tratamiento de datos personales en los siguientes casos:
  • Cuando se recopilen para el Estado.
  • Cuando estén o vayan a estar en “fuentes accesibles al público”. El Reglamento propone algunos casos de “fuentes accesibles al público” que deberemos mirar con mucho cuidado: medios de comunicación electrónica, guias telefónicas, diarios y revistas, medios de comunicación social, listas de gremios profesionales, jurisprudencia anonimizada, registros públicos, etc.
  • Cuando se trate de datos relativos a la solvencia patrimonial o al crédito (conforme a la ley de la materia)
  • Cuando medie norma para la promoción de competencia
  • Cuando los datos sean destinados a la ejecución de una relación contractual en la que el titular de los datos sea parte.
  • Cuando los datos deriven de una relación científica o profesional con el titular.
  • Cuando sea necesario utilizar los datos de salud por circunstancias de emergencia o “interés público”;
  • Cuando los datos de sus miembros sean tratados por organismos sin fines de lucro con finalidad política, religiosa o sindical.
  • Cuando hubiera mediado un procedimiento de anonimización o disociación.
  • Cuando el tratamiento sea necesario para proteger los intereses del titular de los datos.
Otro aspecto importante de estas normas es la relacionada a la transferencia de datos. Al respecto, se dispone que para ello se requiere el consentimiento previo del titular. Sin embargo, es posible realizar transferencias dentro de un grupo empresarial siempre que el mismo cuente con un código de conducta debidamente inscrito. Para la transferencia dentro del territorio nacional bastará con informar al receptor de los datos las condiciones que dieron lugar al consentimiento del titular. Finalmente, para la transferencia internacional será necesario asegurarse que el país de destino cuente con niveles de protección adecuados o, en caso contrario, que el emisor garantice que el tratamiento se va a realizar conforme a la Ley y el Reglamento. En lo que respecta a la tercerización del tratamiento (que no implica transferencia del Banco de Datos) bastará con garantizar el cumplimiento de lo establecido en ambos cuerpos normativos.
Antes de terminar quería dejar con ustedes algunas dudas que me han surgido durante la lectura de estas normas y que espero se puedan aclarar antes de su entrada en vigencia:
¿El concepto Banco de Datos incluye a aquellos listados de clientes que los vendedores de determinada empresa tienen en un Excel? O, peor aún, ¿la lista de contactos de mi Outlook?
¿La información contenida en Facebook o Linkedin puede ser considerada como una “fuente accesible al público”?
¿Qué deben hacer las empresas con los Bancos de Datos recopilados con anterioridad a la vigencia de estas normas? ¿La adecuación será posible cuando hablamos de Bancos con millones de registros? ¿Alcanzará el plazo de dos años?
Con el creciente uso de smartphones y sus habilidades de geolocalización ¿Se puede decir que esos datos no son indispensables para la prestación del servicio cuando con ellos puedo personalizar mejor mis ofertas?
Hablando de Big Data ¿Estas normas frenaran o impulsarán el tratamiento de la información obtenida de la infinidad de fuentes que hoy generan información utilizable para prestar servicios? 
¿Las empresas necesitarán consentimiento para recoger datos de la cada vez mayor cantidad de aparatos conectados a Internet? ¿El M2M se perjudicará?
¿Se puede considerar que un consentimiento es expreso cuando el titular de los datos utiliza una página web y se somete a sus “Condiciones de Uso”?
Aunque considero que no sería necesaria una regulación específica ¿La transferencia de Bancos de Datos como consecuencia de una fusión o reorganización empresarial estará sujeta a algún requisito especial?
Si una persona me entrega su tarjeta, ¿puedo ingresar su información a un Banco de Datos de mi empresa?
Espero sus comentarios.

COMENTARIOS

  • 1
  • 30.04.2013
  • 05:12:07 hs
Diego Barrios

Interesante post e interesante lo que se nos viene a las empresas que trabajamos en centros de contact o tercerizamos nuestras bases de datos.

Aprovecho para comentarles que el APEBIT (www.apebit.com.pe) trabaja de la manoa del Estudio Iriarte & Asociados apra difundir y mejorar este tema.

Saludos

Diego Barrios.

  • 2
  • 29.04.2013
  • 12:28:32 hs
Roberto Mackenzie

Muy interesante el tema del blog y, efectivamente, todo lo expuesto se debe analizar. Además de todo lo indicado, no se menciona la eliminación segura de datos y no me refiero a la eliminación física únicamente sino a la digital también. Las experiencias de otros países sobre PC donadas o botadas, cambio de servidores, cambio de discos, etc., fueron el origen de la recuperación indebida de datos con herramientas muy simples. Hoy existen soluciones de borrado seguro que incluso otorgan certificados que garantizan la seriedad del proceso.

Atentamente;

Roberto

  • 3
  • 05.05.2013
  • 09:18:58 hs
Percy Copaja

Me parece largo el periodo de 2 años para que las empresas que posean Bancos de Datos se adecén a este Reglamento. La velocidad de flujo de información no guarda relación con este periodo dado de 2 años ya que en el país existen empresas que ya lo están haciendo y otras que ya están adecuadas. Hay una intencionalidad escondida. Mas allá de este punto, saludo los principios en los que se basa el reglamento y la ley.

  • 4
  • 18.05.2013
  • 08:35:04 hs
Juan Carlos Luján

Hola Abel. Una consulta. Las fotografías que un colegio suele tomar durante actividades internas y que luego reutilizan en su sitio web o espacio en Facebook ¿deben obtener antes el consentimiento de los padres? (debido a la vigencia de esta ley) Gracias po la atención. Saludos

  • 5
  • 15.04.2015
  • 10:56:48 hs
jorge cornejo

Una consulta yo tenia entendido que tenemos hasta el 8 de mayo para poder adecuarnos a esta ley. Por favor espero sus comentarios

    • 6
    • 16.04.2015
    • 06:28:27 hs
    arevoredo

    Estimado Jorge,

    Las obligaciones referidas al tratamiento de datos personales (consentimiento, limitaciones, flujo transfrontetizo, seguridad, confidencialidad) están vigentes desde el 4 de julio del 2011. Las demás disposiciones están vigentes desde el 8 de mayo de 2013.

    El plazo para la adecuación de los bancos de datos personales a la ley y el reglamento debe hacerse antes del 8 de mayo del 2015. Ojo que eso no tiene nada que ver con la obtención de consentimientos y tratamiento adecuado de la información. No obstante ello, es importante precisar que la facultad sancionadora de la autoridad esta suspendida hasta este 8 de mayo.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Menos face más book

Rafael Zavala Batlle

Visiones para el desarrollo

CAF –Banco de Desarrollo de América Latina

Te lo cuento fácil

Alumnos de la Universidad del Pacífico

Más allá del efectivo

Felipe Rincón

Mujer, ejecutiva y trasgresora

Zendy Manzaneda Cipriani

Revolución digital

Pablo Bermudez

Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Silvia Noriega

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia

Gestiona tus Finanzas

Giovanna Prialé Reyes

Corrupción bajo la lupa

Eduardo Herrera Velarde

Pablo O'Brien

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Director FRI-ESAN Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Tacos Fuertes

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

PIERINO STUCCHI

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Innovación y Emprendimiento Tecnológico

Franklin Marcelo, CEO de Interfono

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Evidencia para la gestión

Videnza Consultores

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel Trelles

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Dominguez

Hoy sí atiendo provincias

Félix Villanueva - Aurum Consultoría y Mercado

Smart money

Luis Ramírez

Consumer Psyco

Cristina Quiñones

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño