Sumario: 1. Introducción, 2. Sustento constitucional de los derechos sobre los datos personales, 3. Derechos de información y acceso que amparan al titular de los datos personales, según el articulado de la LPDP, 4. Procedimientos de ejercicio o de tutela de los derechos mencionados, 5. Posibles modalidades de ejercicio de los derechos ante empresas que realizan comunicaciones comerciales no consentidas, 6. Conclusiones.
1. Introducción
Por medio de una publicación en su cuenta de Facebook, el Ministerio de Justicia y Derechos Humanos recordó al público la posibilidad que cada persona, como titular de sus datos, tiene de ejercer sus derechos sobre estos, dirigiéndose este ejercicio contra una de las actividades más incómodas y cotidianas: Las llamadas comerciales no deseadas o no consentidas, denominadas en la publicación señalada como “llamadas SPAM”.
En un artículo anterior, nos referimos al tratamiento de datos personales realizado en los procesos de comunicaciones comerciales no consentidas, sin distinguir sus modalidades (mensajería o llamadas). Esta oportunidad es propicia para examinar el otro lado de la situación: ¿Qué es lo que puede hacer el titular de los datos personales para evitar el tratamiento de su información en tales situaciones?
Para responder a tal interrogante, se estudiará la normativa nacional, la Ley N° 29733 (LPDP) y su reglamento (Reglamento de la LPDP), a fin de conocer los derechos que le amparan y son aplicables a su caso, así como cuestiones del procedimiento para su tutela o ejercicio, los llamados ARCO[1], partiendo del trasfondo de la esencia de derecho fundamental de la protección de los datos personales, el deber-derecho de información o transparencia, que constituye un principio de tal disciplina y su ejercicio.
2. Sustento constitucional de los derechos sobre los datos personales
Como ya hemos señalado en artículos anteriores, el derecho fundamental contemplado en el numeral 6 del artículo 2 de la Constitución Política del Perú[2], conocido en el desarrollo de la jurisprudencia del Tribunal Constitucional como “derecho a la autodeterminación informativa” o actualmente “protección de datos personales”, busca proteger la privacidad del individuo en lo concerniente a su información personal, al ser esta una extensión de sí mismo por exteriorizar cuestiones que lo identifican o son propias de él.
Dicha protección consiste en otorgar a la persona el “señorío sobre su información”[3], como denomina Lete a aquel poder consistente no solo en la capacidad meramente reactiva de repeler cualquier intromisión a la privacidad a través del acceso a los datos, sino también el poder permitir el tratamiento de su información cuando desee, sin renunciar al control sobre su información que le permita verificar que se haga un tratamiento adecuado. Tal control no se reduce a la capacidad de permitir, hacer corregir o restringir actividades de tratamiento, sino que abarca el conocimiento que el titular tiene sobre estas o los datos personales bajo tratamiento, siendo tal conocimiento útil para el ejercicio de sus derechos.
Entonces, tales poderes sobre la información personal (permiso, denegatoria o restricción, corrección y conocimiento) se concretan en la normativa con los derechos otorgados al titular[4] (denominados clásicamente “ARCO”, acrónimo de acceso, rectificación, cancelación y oposición). En tal sentido, estos derechos pueden manifestarse con solicitudes al responsable para efectuar acciones específicas sobre los datos personales objeto de tratamiento, como el cese del mismo por la desaparición de la causa que lo fundamentaba, actualización de los datos, la solicitud de muestra de los datos personales que el responsable almacena o de información sobre las acciones a realizar con tales datos.
Estos últimos ejemplos deben ser atendidos pues permite ejercer el conocimiento por parte del titular de los datos personales, lo cual constituye la base o el punto de partida para ejercer otros derechos, pudiendo entenderse su carácter instrumental, como señala Hernández[5], mas no subordinado o de segundo orden, ni mucho menos exigible como prerrequisito de otros derechos. En la normativa nacional, la tutela en tales casos se pone en práctica con el procedimiento de acceso, relacionado con los artículos 18 y 19 de la LPDP, en su título III, complementados reglamentariamente.
3. Derechos de información y acceso que amparan al titular de los datos personales, según el articulado de la LPDP
Los artículos 18 y 19 de la LPDP[6] se vinculan por el deber que tiene el responsable del tratamiento de datos de brindar información sobre este a los titulares de los datos, de forma previa a la recopilación (supuesto contemplado en el artículo 18) o durante el desarrollo del tratamiento, materializándose a través de ambos el principio de transparencia[7], conjuntamente con la práctica de otros derechos, como señala Aparicio respecto del artículo 15 del Reglamento Europeo de Protección de Datos Personales[8].
A diferencia del artículo 18 de la LPDP, que establece el derecho a recibir información sobre el tratamiento de datos personales concretado a través del deber del responsable del tratamiento de brindarla (acentuando el rol pasivo del titular), el artículo 19 concede expresamente al titular la potestad enteramente activa, dependiente de su obrar, de obtener dos tipos de información:
1) La “información sobre sí mismo” (datos personales) que pueda almacenar el responsable del tratamiento.
2) Información sobre la forma de recopilación, las razones que la motivaron y a solicitud de quién se realizó, así como las transferencias realizadas o que se prevén hacer de ellos.
Deben entenderse algunos hechos complejos del artículo 19: Este presenta un derecho como es el de acceso, entendible como eminentemente dirigido al conocimiento acerca de los datos personales del titular que son el objeto sobre el que recae el tratamiento, el cual se traduce con el acceso a estos, su puesta a disposición o entrega concreta, como sucede con las copias, de acuerdo con lo establecido por el Tribunal Constitucional en la Sentencia del Expediente N° 00693-2012-PHD/TC[9], como complemento de la autodeterminación informativa. Esa circunstancia lo diferencia de la prolongación del derecho de información que el texto de dicho artículo incluye, presente en la indicación sobre factores del mencionado tratamiento (aspecto adjetivo alrededor de los datos).
A su vez, al contemplar el rol activo del titular de los datos personales (evidente con la mención del “derecho a obtener”, a ejercer la acción), prevé la existencia de un procedimiento de tutela para sus derechos de acceso y de información, la cual, de acuerdo con los artículos 60 y 61 del Reglamento de la LPDP[10], contaría con una única vía o procedimiento que, según el derecho a ejercer, presenta un trato diferenciado.
Dicha situación normativa probablemente suscite confusiones terminológicas y conceptuales, debido a la inclusión en el artículo 19 de factores a informar que corresponderían al artículo 18 de la LPDP. Por ello, es necesario mantener claro el objeto de cada artículo (¿De qué derecho se ocupada cada uno?), haciendo unívocas sus respectivas redacciones. También resultaría pertinente, en caso de descartar la opción de la vía única para la tutela, establecer en cada artículo legal el procedimiento de tutela respectivo, trabajando sobre la base de lo ya existente en los mencionados artículos del Reglamento de la LPDP, cuyas disposiciones concernientes analizamos a continuación.
4. Procedimientos de ejercicio o de tutela de los derechos mencionados
Como ya se mencionó, las cuestiones procedimentales del ejercicio de los derechos de información y acceso se establecen en el título IV del Reglamento de la LPDP. Obedeciendo a la configuración de dicho título, conviene iniciar el examen con las características generales de los procedimientos ARCO, lo cual servirá para futuros análisis del ejercicio de tales derechos, para derivar en lo específico de los mencionados derechos.
Respecto de la legitimidad para obrar, debe señalarse que es exclusiva del titular de los datos personales, el cual puede designar a un representante para el procedimiento, o en el caso de incapaces (como menores de edad), la potestad es ejercida por sus representantes legales.
De acuerdo con el artículo 50, la solicitud, siempre dirigida al responsable del tratamiento, debe contener datos identificativos y de contacto del titular de los datos, los documentos sustentatorios y la petición (la acciones sobre los datos personales del solicitante cuyo emprendimiento se exige), que puede consistir en el ejercicio de dos derechos (considerando que e9l ejercicio de uno no excluye a otro, ni se debe tomar a ninguno como prerrequisito de otro. Por supuesto, esta solicitud es pasible de ser subsanada en caso de omisiones, con cinco días de plazo, así como de aclaración de la solicitud, que puede pedir el responsable del tratamiento en los siete días posteriores a la recepción de la solicitud.
Para la atención de las solicitudes, el reglamento, en su artículo 51, habilita a las entidades responsables del tratamiento a utilizar sus canales de atención preestablecidos, sin que sea obligatorio recurrir a un canal especial para los procedimientos ARCO, conservando un procedimiento sencillo. Asimismo, el artículo 53 del mismo reglamento establece como regla la gratuidad de dicha atención en el caso de que el responsable sea un particular, mientras que, en el caso de las entidades públicas, solo se condicionará la contraprestación a lo que disponga al respecto la Ley del Procedimiento Administrativo General.
Ahora bien, el artículo 55 del reglamento estudiado, establece los plazos máximos, para la atención de las solicitudes de tutela de derechos; artículo en el cual se diferencian nuevamente los supuestos de ejercicio del derecho de información y el de acceso, siendo que para el primero solo se otorgan ocho días hábiles, mientras que para el segundo el plazo máximo llega a los veinte días, el cual, es el plazo más amplio para la atención de derechos dispuesto por la normativa.
La diferencia en los plazos obedece a la ya mencionada diferencia de los mencionados derechos, no tan clara en la LPDP como en el reglamento, así como en la distinta operatividad que implica cada uno: Generalmente, los factores del tratamiento sobre los que se debe informar son de dominio inmediato del responsable, al ser este el que determina la finalidad de las actividades de tratamiento, las transferencias y encargos de datos a realizar, la identidad de los destinatarios con los que contrata, el lapso de conservación, modalidad de obtención, entre otros. Al contrario, para responder a la solicitud de acceso a los datos que se tenga de una determinada persona, existe la posibilidad de requerir ir más allá de la información recopilada inicialmente y/o de forma directa, pudiendo obligársele a brindar los nuevos datos personales que surjan del tratamiento de los preexistentes (índices de rendimiento laboral, promedio mensual de consumos), los cuales no siempre tendrá a la mano, existiendo casos en que el tratamiento de estos datos subsecuentes sea encargado a un tercero, entre otras situaciones que surgen con el uso de tecnologías de la información y comunicaciones.
En lo referido a las disposiciones específicas, se debe reiterar que el ejercicio de ambos derechos, se realiza por la vía del procedimiento de tutela de acceso, aplicándose los artículos 62 y 63 del Reglamento de la LPDP. Por ello, en ambos casos, la modalidad de transmisión de la información solicitada está supeditada a la voluntad del titular de los datos personales, pudiendo implicar el visionado in situ, medios escritos o electrónicos, debiendo el documento informativo ser dotado de claridad, amplitud e inteligibilidad, que obliga incluso a adjuntar una explicación, como puede suceder en la solicitud de información sobre los procesos de análisis automatizado, de machine learning o análisis de big data, con los que se pueda obtener nueva información.
5. Posibles modalidades de ejercicio de los derechos ante empresas que realizan comunicaciones comerciales no consentidas
El propósito de las conceptualizaciones antes realizadas es llegar a un ejemplo de aplicación práctica necesaria, en supuestos cuyo carácter invasivo es cotidiano para las personas. Teniendo dos derechos disponibles, ejercibles a través de un mismo procedimiento, se puede efectuar las siguientes acciones aprovechando las prerrogativas normativas estudiadas:
- Solicitar a la empresa anunciante (cuyos productos se busca vender a través de las comunicaciones) información sobre la obtención de sus datos personales y en qué bancos de datos personales de sus titularidad se almacenan, los usos que la misma empresa efectúa y, de ser el caso, la identidad de las empresas de call center u otro tipo de comunicaciones, con las que comparte la información, a fin de solicitar la supresión de sus datos o la inhibición del traspaso de información a las empresas encargadas de las comunicaciones.
- En caso de poder identificar a la empresa que entabla la comunicación en representación de la anunciante (lo cual puede preguntarse incluso durante la misma llamada), dirigirse a esta, a fin de solicitar información sobre la obtención de sus datos personales y finalidades del tratamiento realizado por dicha empresa, así como otros pormenores, pudiendo solicitar luego la supresión de tales datos de los bancos de datos de esta empresa.
- Lo anterior puede ponerse en práctica con el derecho de acceso, y con la restricción del tratamiento sobre una o algunas categorías de datos personales, como puede ser el número telefónico o el correo electrónico, que se recomiendo en casos en los que la empresa anunciante mantiene un vínculo contractual con el titular.
6. Conclusiones
La falta de claridad respecto del binomio de derechos estudiados y de sus ámbitos deviene del desorden mutuo entre el artículo 18 y 19 de la LPDP, los cuales, más que distinguirse por su objeto o modalidad de cumplimiento, se distinguen por el rol que cumple en cada caso el titular de los datos personales. Una mayor claridad en respecto del objeto permite delinear bien el foco de cada derecho y, por ende, la modalidad del procedimiento de su tutela.
Dicha situación, sin embargo, obtiene una subsanación que resulta útil y coherente a través del Reglamento de la LPDP, que establece una misma vía para la tutela de ambos sin dejar de reconocer las diferencias que existen entre ambos, lo cual se manifiesta en la disposición de diferentes plazos para que los responsables de los datos personales.
Cerramos este artículo sugiriendo algunas formas de ejercicio de estos derechos, aludiendo casi tangencialmente a otros derechos clásicos “ARCO”, como son la oposición al tratamiento de datos personales o su cancelación, sobre los cuales se ahondará en una próxima publicación, así como otros conceptos importantes como el de banco de datos personales, tópicos que forman parte de la cada vez más amplia disciplina de la protección de datos personales, pendientes de análisis.
[1] El autor cree más conveniente referirse a los “Procedimientos ARCO” que a los “Derechos ARCO” en el caso peruano, pues en la normativa, a diferencia de la lista abierta de derechos, los procedimientos para su ejercicio son solo los de Acceso, Rectificación, Cancelación y Oposición.
[2] Constitución Política del Perú
“Artículo 2. Toda persona tiene derecho:
(…)
- A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.”
[3] LETE DEL RÍO, José Manuel. Derecho de la Persona. Editorial Tecnos, S.A., Madrid, España, 1996. Ps. 176-177.
[4] ZAMUDIO SALINAS, María de Lourdes. El marco normativo latinoamericano y la ley de protección de datos personales del Perú. En Revista Internacional de Protección de Datos Personales. N° 1, Julio-Diciembre 2012. Universidad de los Andes, Facultad de Derecho. Bogotá, Colombia, 2012. P. 15.
[5] HERNÁNDEZ CORCHETE, Juan Antonio. Transparencia en la información al interesado del tratamiento de sus datos personales y en el ejercicio de sus derechos. En Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, dirigido por PIÑAR MAÑAS, José Luis y coordinado por ÁLVAREZ CARO, María y RECIO GAYO, Miguel. Madrid, Editorial Reus, S.A., 2016. P. 214.
[6] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 18. Derecho de información del titular de datos personales
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
En el caso que el titular del banco de datos establezca vinculación con un encargado de tratamiento de manera posterior al consentimiento, el accionar del encargado queda bajo responsabilidad del Titular del Banco de Datos, debiendo establecer un mecanismo de información personalizado para el titular de los datos personales sobre dicho nuevo encargado de tratamiento.
Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento.
Artículo 19. Derecho de acceso del titular de datos personales
El titular de datos personales tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.”
[7] El autor de este artículo considera que la LPDP contempla tácitamente el principio referido a la información o transparencia, concretado con el deber de informar y con el ejercicio del derecho de acceso. Al respecto, ha esbozado una aproximación a dicho concepto en el siguiente enlace.
[8] APARICIO SALOM, Javier. Derechos del Interesado (Arts. 12-19)”. En El nuevo marco regulatorio derivado del Reglamento Eiropeo de Protección de Datos, coordinado por LÓPEZ CALVO, Juan. Madrid, Editorial Bosch S.L., 2018, pp. 369-370.
[9] Sentencia del Tribunal Constitucional en el Expediente N° 00693-2012/HD, del 24 de julio de 2012:
“6 (…) el derecho a la autodeterminación informativa también supone que una persona pueda hacer uso de la información privada que existe sobre ella, ya sea que la información se encuentre almacenada o en disposición de entidades públicas, o sea de carácter privado. En ese sentido, parece razonable afirmar que una persona tiene derecho a obtener copia de la información particular que le concierne, al margen de si ésta se encuentra disponible en una entidad pública o privada.”
[10] Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS
“Artículo 60.- Derecho a la información.
El titular de datos personales tiene derecho, en vía de acceso, a que se le brinde toda la información señalada en el artículo 18 de la Ley y el numeral 4 del artículo 12 del presente reglamento.
La respuesta contendrá los extremos previstos en los artículos citados en el párrafo anterior, salvo que el titular haya solicitado la información referida sólo a alguno de ellos.
Será de aplicación para la respuesta al ejercicio del derecho a la información, en lo que fuere pertinente, lo establecido en los artículos 62 y 63 del presente reglamento.
Artículo 61.- Derecho de acceso.
Sin perjuicio de lo señalado en el artículo 19 de la Ley, el titular de los datos personales tiene derecho a obtener del titular del banco de datos personales o responsable del tratamiento la información relativa a sus datos personales, así como a todas las condiciones y generalidades del tratamiento de los mismos.”
(el resaltado es nuestro)