Escribe: Iván V. Altamirano
¿Qué son los datos personales?
La ley de protección de datos personales (Ley N°29733) define a los Datos Personales como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”. Tal definición no es muy diferente al antecedente más antiguo plasmado en el Convenio 108 del Consejo de Europa que define al “dato de carácter personal” como “cualquier información relativa a una persona física identificada o identificable”.
Agregando a lo anterior, podemos señalar como ejemplos de datos personales la información relativa a: nombres y apellidos, número de documento nacional de identidad (DNI), número de registro único de contribuyentes (RUC), número de Pasaporte, número de Carné de extranjería, dirección de domicilio, número de teléfono, número de celular, dirección de correo electrónico, imagen, voz, firma, firma electrónica, estado civil, fecha de nacimiento, nacionalidad, sexo, profesión, edad, datos académicos, datos de derecho habitantes, datos de persona de contacto, créditos, préstamos, avales, datos bancarios, historial de créditos, información tributaria, seguros., tarjetas de crédito, bienes patrimoniales, planes de pensiones, planes de jubilación, beneficios recibidos de programas sociales, hipotecas, deudas, afiliaciones a clubes o asociaciones, aficiones y hábitos personales, características de vivienda, entre otros.
Asimismo, existen datos personales de carácter sensible, conocidos como “datos sensibles” cuya definición en la Ley 29733 señala que son “datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opciones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”.
Del mismo modo, podemos señalar como datos sensibles a la información referida a: origen racial o étnico, información relativa a la salud física o mental, vida sexual, información genética, huella dactilar, reconocimiento facial, convicciones filosóficas o morales, ingresos económicos, afiliación sindical, creencias religiosas, convicciones políticas, reconocimiento de iris, reconocimiento de retina, entre otros.
En consecuencia, como hemos podido apreciar toda información que nos identifica o hace identificable (a las personas naturales) son datos personales ya que permiten reconocernos, además, tenemos a los datos sensibles que se encuentran vinculados con la intimidad de la persona, los cuales deben ser manejados con precaución y cuidado, toda vez que dicha información podría ser utilizadas con fines inadecuados para discriminar, excluir, dar trato diferenciado a las personas, lo cual está totalmente prohibido por nuestras normas legales.
¿Cuáles son las razones para proteger los Datos Personales?
Los datos personales están en constante flujo cada día, toda vez que como consecuencia actual de nuestras actividades personales, profesionales, comerciales, realizamos diversas transacciones en la cual intercambiamos nuestra información, por ejemplo, al registrarnos en una red social, al realizar una compra de víveres en supermercado, al realizar la compra de una entrada de cine o concierto, al matricularnos en algún curso, al contratar algún servicio, al comprar un inmueble, al momento de adquirir un seguro e incluso al atendernos en un hospital.
Es por eso, que resulta importante y necesario dar protección a los datos personales, nuestras normas legales brindan esa protección necesaria a nivel constitucional, es así como el inciso 6 del art. 2 de la Constitución peruana de 1993 reconoce la protección de los datos personales a través del Derecho Fundamental a la Autodeterminación Informativa. Pero, que es el Derecho Fundamental a la Autodeterminación Informativa, bueno, podemos señalar que es aquel derecho que garantiza la facultad de toda persona natural de preservar su vida privada frente a los posibles abusos o riesgos derivados de la utilización de sus datos personales que fueron ofrecidos, entregados u obtenidos.
¿Cómo surgió la idea de designar un día para celebrar el día de la Protección de Datos Personales?
El 28 de enero de 1981, en la Ciudad de Estrasburgo, el Consejo de Europa adoptó el Convenio 108, nombrado como “Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal”, cuyo objetivo y fin consisten en garantizar a cualquier persona física sin importar cual sea su nacionalidad o residencia, el respeto de sus derechos y libertades fundamentales, en específico su derecho a la vida privada con relación al tratamiento automatizado de sus datos con carácter personal.
El instrumento de carácter normativo mencionado cuenta con 7 (siete) capítulos y 27 (veintisiete) artículos, que desarrolla, las disposiciones generales, los principios básicos para la protección de datos, los flujos transfronterizos de datos, la ayuda mutua (entre las partes contratantes del convenio), sobre el Comité consultivo, las enmiendas y las cláusulas finales. Posteriormente, El Consejo de Europa emitió un Protocolo Adicional el 8 de noviembre de 2011, mediante el cual se obliga a las partes miembros del convenio a crear autoridades de control que ejerzan sus funciones con total autonomía y que ejerza protección efectiva a la transmisión fronteriza de datos personales de las personas físicas a destinatarios que no son parte del convenio.
Asimismo, forman parte del Convenio 108, los 47 estados miembros del Consejo de Europa, cabe señalar que este instrumento jurídico está abierto a la adhesión de cualquier estado, sin importar de si forma parte o no del organismo internacional, es así, qué países como Argentina, México, Uruguay, Mauricio, Senegal, Túnez, Cabo Verde y Marruecos forman parte del convenio.
Por otro lado, por iniciativa del Consejo de Europa se instaura que a partir del año 2006, cada 28 de enero se celebrará el “Día Internacional de la Protección de Datos Personales” para conmemorar el Convenio 108 como instrumento de carácter normativo que reconoció el derecho a la vida privada de las personas con relación al tratamiento automatizado de sus datos con carácter personal.
¿Cuál es el organismo que da protección a los Datos Personales y el marco normativo aplicable en el Perú?
El organismo encargado de velar por la protección de los datos personales de las personas naturales (o también conocidas como físicas) en el Perú, es la Autoridad Nacional de Protección de Datos Personales (conocida como “ANPD” por sus siglas), la cual cuenta con dos unidades orgánicas que trabajan conjuntamente para velar por el cumplimiento de la Ley de Protección de Datos Personales “Ley 29733” y su reglamento. Las unidades orgánicas mencionadas son La Dirección de Protección de Datos personales, cuya función es resolver en primera instancia los procedimientos sancionadores sobre protección de datos personales, asimismo, resuelve en primera instancia los procedimientos trilaterales en tutela, además administra el Registro Nacional de Protección de Datos Personales, por otro lado, está la Dirección de Fiscalización e Instrucción, cuya función es fiscalizar el cumplimiento de obligaciones y prohibiciones establecidas en la Ley de Protección de Datos Personales y su Reglamento, además de iniciar los procedimientos sancionadores por infracción a las disposiciones que señala la ley de la materia e instruir el procedimiento sancionador. El marco normativo en el Perú se puede dividir en:
Tratados Internacionales – Sobre el “Convenio 108”
Con relación a este marco normativo, se debe señalar que el Perú como estado no es miembro del Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal.
En la región latinoamericana, los únicos países que han sido invitados formalmente a unirse al Convenio 108, han sido los estados de Uruguay, México y Argentina. Esperemos, que el Perú sea invitado muy pronto a formar parte del Convenio 108, cabe señalar que por el momento no hay invitaciones a formar parte de dicho convenio y ello será hasta que entre en vigor el Convenio 108 modernizado.
Decisiones (normas comunitarias)
Con relación a este marco normativo o también marco comunitario y esto se debe a que nuestro país forma parte de la Comunidad Andina (conformada por Colombia, Ecuador, Bolivia y Perú) por lo que se aplican las Decisiones (normas regionales), podemos destacar que actualmente existen 854 decisiones emitidas por el Parlamento Andino, pero ninguna versa sobre Protección de Datos Personales. No obstante, podemos encontrar alguna mención en el numeral 1 del art. 2 de la Decisión 638 “Lineamientos para la Protección al Usuario de Telecomunicaciones de la Comunidad Andina” que señala “Los países Miembros de la Comunidad Andina se comprometen, a través de sus normativas internas, la efectiva protección de los derechos de los usuarios de telecomunicaciones, y en especial: la privacidad e inviolabilidad de sus telecomunicaciones, así como al mantenimiento de la reserva de todos los datos personales vinculados al servicio adquirido y que han sido suministrados a terceros, salvo en los supuestos de excepción que prevea su normativa interna”.
En consecuencia, lo citado es lo más próximo a una protección sobre los Datos Personales que se resalta a través del marco normativo comunitario, al menos con relación a la protección de los derechos de los usuarios de telecomunicaciones.
Marco Normativo Nacional
Sin lugar a duda, el marco normativo nacional es el que da una protección amplia a la Protección de Datos Personales, actualmente se cuenta con:
La Ley 29733 “Ley de Protección de Datos Personales” publicada el 3 de julio de 2011 – Esta ley desarrolla los derechos de los titulares de datos personales, los principios y las condiciones que se deben aplicar en su tratamiento.
Decreto Supremo N003-2013-JUS “Reglamento de la Ley 29733, Ley de Protección de Datos Personales” – Este reglamento regula la inscripción de los bancos de datos personales y la transferencia de datos personales (flujo transfronterizo) en el Registro Nacional de Protección de Datos Personales, así como el régimen sancionador antes el incumplimiento de la norma de la materia.
Decreto de Urgencia 07-2020 “Marco de Confianza Digital y dispone medidas para su fortalecimiento” – Este decreto establece la obligación de determinados proveedores de servicios digitales de reportar y colaborar con la Autoridad Nacional de la Protección de Datos Personales cuando verifiquen un incidente de seguridad digital que involucre datos personales.
Resolución Directoral 02-2020-JU/DGTAIPD “Directiva para el tratamiento de Datos Personales mediante Sistema de Videovigilancia” – Esta directiva aprueba el tratamiento de datos personales mediante sistemas de videovigilancias, así como sus anexos.
Decreto Supremo 0029-2021-PCM “Reglamento Ley de Gobierno Digital, condiciones, requisitos y uso de las tecnologías” – Este decreto aprueba el reglamento de la Ley 1412 y en relación con la protección de datos personales crea el rol de Oficial de Datos Personales en las entidades públicas, así como la obligación de las entidades públicas de comunicar a la Autoridad Nacional de Protección de Datos Personales los incidentes de seguridad digital que comprometan datos personales.
¿Por qué es tan importante la difusión y protección de los Datos Personales?
Como se puede apreciar en todo lo señalado anteriormente, los datos personales están estrictamente vinculados al Derecho Fundamental a la Autodeterminación Informativa, que es aquel derecho que garantiza la facultad de toda persona natural de preservar su vida privada frente a los posibles abusos o riesgos derivados de la utilización de sus datos personales que fueron ofrecidos, entregados u obtenidos. Los posibles abusos o riesgos pueden ser la discriminación (por origen racial o étnico), prejuicios (por preferencias religiosas), exclusión (por aficiones) e incluso posible víctima de delitos como secuestro, extorsión, entre otros (debido a la información económica).
Es por ello, que es importante la Protección de los Datos Personales y el cumplimiento de lo establecido en las normas que la regulan, por eso es deber de las empresa privadas, públicas o personas naturales cumplir con lo señalado en la norma y dar una protección eficaz a los datos personales que obtienen, asimismo, es importante que las personas conozcan sus derechos sobre sus datos personales y como ejercer(solicitar) la protección sobre estos.
En consecuencia, la protección y responsabilidad legal sobre el tratamiento de datos personales recae sobre el titular del banco de datos personales (registrado o no), quien deberá dar un tratamiento adecuado, relevante y no excesivo a la información que adquiere de las personas y siempre para la finalidad que fue recopilada dicha información. Además, los datos obtenidos deben ser veraces, exactos, y actualizados, así como respetar los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y dar información a la persona que solicite la aplicación de dichos derechos a su información conforme se estipula en la norma de la materia.
¿Cuál es el panorama actual en el Perú y la fiscalización que ejerce la autoridad con relación a la Protección de Datos Personales?
Conforme a los datos publicados el 10 de enero del presente año en la nota de prensa del Ministerio de Justicia y Derechos Humanos en la Plataforma digital única del Estado Peruano, se tiene conocimiento que en el año 2021 la Autoridad Nacional de Protección de Datos personales “ANPD” fiscalizó a 335 entidades, tanto públicas como privadas, de las cuales se iniciaron 132 procedimientos sancionadores, habiendo culminado a la fecha 124 en primera instancia. Además, las multas interpuestas por Autoridad Nacional de Protección de Datos personales “ANPD” ascendió a S/ 6,084,113.00 (seis millones ochenta y cuatro mil ciento trece soles).
Al mismo tiempo, la Autoridad Nacional de Protección de Datos personales “ANPD” estableció el registro virtual de los bancos de datos personales a través de su plataforma digital con la finalidad de facilitar la inscripción por parte de sus titulares en el Registro Nacional de Protección de Datos Personales.
Recomendaciones
Desde mi punto de vista profesional recomiendo a las empresas sin importar sean micro, pequeñas, medianas o grandes, el registro de sus Bancos de Datos Personales, lo recomendable es contar al menos con los siguientes bancos registrados: “clientes”, “proveedores”, “trabajadores” y “libro de reclamaciones”, asimismo, contar con la debida información sobre el flujo transfronterizo que realizan, es decir la transferencia de datos personales a nivel nacional o internacional que ejecutan.
Para realizar un exitoso y optimo registro deberán de contar con asesoría legal especializada para no tener que realizar posteriores modificaciones a los bancos registrados ya que ello ocasionará un gasto adicional, al mismo tiempo, evitar exponerse a fiscalizaciones que terminen en procedimientos sancionadores por incumplimiento a la Ley de Protección de Datos Personales.
Además, será necesario implementar un procedimiento interno para dar respuesta al ejercicio de los derechos ARCO cuando alguna persona los solicite cumpliendo con el plazo establecido por ley para dar respuestas, así como asignar a un responsable encargado de custodiar (tener acceso) al registro de los bancos de datos personales y a la información que los mismos contengan.
Finalmente, mantener actualizada la información de datos personales que hayan obtenido así como la respectiva información y/o aprobación para custodiar la misma, es importante cumplir con la finalidad para la cual se obtiene la información de las personas, lo cual debe indicarse en el registro de bando de datos personales respectivo.