Análisis jurídico del resultado de la investigación periodística de Ojo Público que vincula a Telefónica del Perú con una presunta infracción a la ley de protección de datos personales
María Soledad Gastañeta Gonzales
Asociada Senior del área de Derecho Administrativo
García Sayán Abogados
A continuación, realizamos un análisis jurídico de los resultados de la investigación publicada en Ojo-Público.com, titulada “Telefónica del Perú vende ubicación de clientes y pone en riesgo su privacidad”:
El Perú cuenta con una legislación vigente que se encarga de proteger los datos personales de sus ciudadanos, la Ley 29733 (“Ley”) y su Reglamento aprobado por D.S. 003-2013-JUS, modificada por el Decreto Legislativo 1353 y su Reglamento aprobado por el Decreto Supremo 019-2017-JUS. Por lo que resulta necesario definir si las actividades realizadas por Telefónica del Perú están o no prohibidas por la legislación peruana. La Ley establece los principios rectores en virtud de los cuales se deben tratar los datos personales, estos principios son de obligatorio cumplimiento. En relación al presente caso conviene tener en cuenta los siguientes principios[1]:
Principio de legalidad
El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.
Principio de consentimiento
Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.
Principio de seguridad
El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
De lo anterior, se desprende que los datos personales sólo pueden ser objeto de tratamiento con el consentimiento de su titular, el mismo que debe ser previo, informado, expreso e inequívoco. La Ley señala expresamente que no se requiere este consentimiento: “Cuando se hubiera aplicado un procedimiento de anonimización o disociación”.[2]
Queda claro por lo señalado en la investigación publicada en Ojo-Público.com que Telefónica del Perú no cumplió con solicitar el consentimiento a los titulares de los datos personales, amparándose en el hecho de que a los datos recopilados se les ha aplicado un procedimiento de anonimización.
De ser cierto lo señalado anteriormente, Telefónica del Perú habría actuado conforme a la legislación peruana. Sin embargo, justamente en el artículo publicado, Ojo-Público.com postula que los datos personales no se encuentran correctamente anonimizados puesto que al haber realizado una investigación relativamente simple pudieron identificar a un usuario peruano. Esto significaría que cualquier persona al hacer el mismo ejercicio podría estar en condiciones de identificar al titular de los datos personales.
En consecuencia, corresponderá a la Autoridad Nacional de Protección de Datos Personales, en función a los datos recopilados, determinar si Telefónica del Perú cumplió o no con hacer la anonimización correspondiente.
De determinarse que los datos personales no están correctamente anonimizados, Telefónica del Perú habría recopilado datos personales de sus usuarios sin contar con el consentimiento de los mismos, y además estaría faltando a su obligación de velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus usuarios, al haber transferido los mismos a terceras personas.
En el supuesto antes señalado, las personas naturales titulares de los datos personales que se hayan visto afectadas por el incumplimiento de la legislación peruana tendrían derecho de solicitar una indemnización por daños y perjuicios[3] conforme a lo establecido en el Código Civil.
Adicionalmente, Telefónica del Perú podría haber cometido las siguientes infracciones a la legislación peruana las cuales podrían ser sancionadas con multas por la Autoridad Nacional de Protección de Datos Personales:
| Infracciones | Multas | |
| 1 | Leves:
Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia. |
De 0.5 UIT a 5 UIT
S/ 2,100 a S/ 21,000. |
| 2 | Graves:
Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nº 29733 y su Reglamento. |
De más de 5 UIT a 50 UIT
S/ 21,001 a S/ 210,000. |
| 3 | Muy Graves:
Recopilar datos personales mediante medios fraudulentos, desleales o ilícitos. Suministrar documentos o información falsa a la Autoridad. |
De más de 50 UIT a 100 UIT
S/ 210,001 a S/ 420,000.
|
[1] Se parte de la premisa que los respectivos bancos de datos personales se encuentran registrados, toda vez que ello no ha sido materia de la investigación.
[2] Artículo 14, numeral 8 de la Ley 29733.
[3] Artículo 25° de la Ley 29733.
