Sumario: 1. Introducción, 2. Origen constitucional y alcances generales de la LPDP, 3. La obligación de confidencialidad sobre los datos personales en el derecho comparado, 4. La obligación de confidencialidad en la LPDP, 5. Conclusiones.
Para haber iniciado el procedimiento sancionador de oficio al que hicimos referencia en el artículo anterior, la Autoridad Nacional de Protección de Datos Personales tomó en cuenta el que la brecha de seguridad detectada implicaba el riesgo de accesos no autorizados a los datos personales de los clientes del Banco de Crédito del Perú, vale decir, la vulneración de la confidencialidad de los datos personales.
Si bien la confidencialidad es uno de los valores a preservar por medio de la seguridad de la información, nuestra Ley N° 29733, Ley de Protección de Datos Personales (LPDP), no ha renunciado a estipular una obligación concerniente a ella que constituye un deber autónomo aplicable más allá del comportamiento organizacional, cubriendo aquello que un determinado sistema de seguridad no podría evitar, básicamente por tratarse de comportamientos humanos no siempre previsibles.
Dicha autonomía de normativa, se ve en su redacción (artículo 17 de la LPDP), en las consecuencias de su incumplimiento, que se encuentra tipificado infracción grave tipificada en el artículo 132 del reglamento de dicha ley, sin verse supeditado a la clase de datos personales objeto de tratamiento ilícito[1], e inclusive en su ámbito de aplicación objetivo y subjetivo, como veremos posteriormente.
El presente trabajo contiene un repaso de las nociones básicas del derecho fundamental a la protección de datos personales, su relación con la obligación de confidencialidad sobre datos personales, para luego estudiar cómo esta se configura en otros ordenamientos jurídicos y, siguiendo la tendencia, en la LPDP.
2. Origen constitucional y alcances generales de la LPDP
Es necesario tener presente la sentencia del Tribunal Constitucional recaída en el Expediente N° 17971-2002/HD-TC[2], en la cual se establece que el derecho fundamental a la protección de datos personales (denominado “autodeterminación informativa”) del numeral 2 del artículo 6 de la Constitución Política del Perú[3], da a la persona el poder de decidir qué hacer con sus datos personales y en el caso de actividades de terceros con estos, si las permite o no, conservando en todos los casos, el dominio sobre estas mediante el control de las actividades de tratamiento subsecuentes, conjuntamente con el conocimiento de sus pormenores (finalidad, identidad del responsable, entre otros)
Para garantiza dicho poder, se establecen a través de la LPDP los principios rectores del tratamiento de los datos personales (a modo de pautas esenciales aplicables a las actividades de tal tratamiento[4]), los derechos con los que cuenta el titular de estos así como el procedimiento para su ejercicio, y los deberes vinculados al tratamiento de datos personales, siendo uno de ellos la obligación de guardar confidencialidad.
Dicha obligación fortalece la garantía de control o dominio sobre los datos personales al establecer, sobre quien efectúa el tratamiento, una carga adicional al acatamiento de los principios rectores y la permisión de ejercicio de derechos: Impedir el conocimiento de los datos personales y la intervención en el proceso de tratamiento, por parte de cualquier persona sin legitimidad que del consentimiento o bien, de la necesidad del proceso conocida previamente por el titular de los datos personales; con lo cual se conservan las condiciones bajo las cuales este titular permite dicho tratamiento.
3. La obligación de confidencialidad sobre los datos personales en el derecho comparado
La inclusión de esta obligación en la LPDP, sigue una tendencia evidente en normas anteriores a ella, partiendo del artículo 16 de la antigua Directiva 95/46/CE[5], que incluía en el ámbito subjetivo a “personas que actúen bajo la autoridad” de cualquier entidad que, como responsable, titular de banco de datos personales o encargada, acceda legítimamente a los datos personales, verificándose como excepción a dicha restricción de acceso un imperativo legal.
En adelante, se puede apreciar la evolución en América del impedimento de acceso o tratamiento no autorizado de datos personales, como sucede en Argentina con el artículo 10 de la Ley 25.326[6], Ley de Protección de los Datos Personales, la cual establece el deber de guardar “secreto profesional”, que puede reducir su ámbito subjetivo de exigibilidad. Dicha situación no se da en el artículo 21 de la mexicana Ley Federal de Protección de Datos Personales en Posesión de los Particulares[7], que establece tal obligación de forma más amplia, para cualquier vinculado con el responsable o encargado del tratamiento.
Entre las normas posteriores a la LPDP (publicada en julio de 2011), es relevante el caso colombiano, cuya Ley Estatutaria 1581 del 2012[8] establece la confidencialidad no solo como una obligación, sino entre los principios rectores del tratamiento, en la cual también se amplía el espectro de los obligados, así como se contemplan situaciones en las que se permite el suministro o comunicación de los datos, previstas en la misma ley.
Conociendo el entorno descrito, es que podrá apreciarse que el ordenamiento peruano se uniformiza con el entorno normativo internacional más próximo, sin dejar de lado ciertas particularidades en el sentido de su redacción, como se detalla en el siguiente apartado.
4. La obligación de confidencialidad en la LPDP
El artículo 17 de la LPDP establece la obligación de confidencialidad de la siguiente manera:
Artículo 17. Confidencialidad de datos personales
El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales.
El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.
Ámbito objetivo de aplicación
En primer lugar, es preciso demarcar sobre qué elemento debe desarrollarse el comportamiento exigido. Partimos de lo más evidente, que la confidencialidad se guarda sobre la información concreta de la persona, el contenido de sus datos, sin distinción entre datos personales sensibles y otros que entrañen menor vulnerabilidad para dicha persona.
Dicha claridad no se tiene respecto del segundo elemento, los “antecedentes”, que constituye la particularidad de nuestra norma, la cual debe evaluarse privilegiando el sentido del derecho fundamental a la protección de datos personales. Así, los antecedentes deben ser concebidos como otras informaciones relativas la persona, de cuyo manejo se haya podido obtener o extraer el dato personal específico que es objeto de confidencialidad a cargo de cada sujeto; información que no necesariamente se habrían sido objeto de tratamiento primigeniamente ni deberían estar incorporados en el banco de datos personales de titularidad del responsable.
La relevancia de los antecedentes puede apreciarse en el caso de los diagnósticos médicos de una persona que sufrió una lesión grave. No sólo debería protegerse el resultado informativo (por ejemplo, “conmoción cerebral”), sino las informaciones “adyacentes”, como las circunstancias de las que derivó tal resultado (“producto de una pelea callejera sucedida en…”), aún cuando el responsable del tratamiento (por ejemplo, una entidad empleadora) no la incluya en ninguno de los bancos de datos personales de su titularidad.
Ámbito subjetivo de aplicación
En este punto, aparentemente no es necesario profundizar, teniendo en consideración que la responsabilidad del tratamiento lleva aparejada la obligación para las organizaciones que sean titulares de bancos de datos, responsables o encargadas del tratamiento. Dicha apreciación, siendo cierta, peca de superficial, al obviar a los sujetos que “intervengan en cualquier parte de su tratamiento” y las consecuencias jurídicas de tales acciones.
A nuestro entender, la mención general de intervinientes en los procesos de tratamiento no solo abarca a las personas naturales o jurídicas que sean responsables del tratamiento, titular de los bancos de datos personales o encargados, sino también a las personas subordinadas a estas que, por motivo de su trabajo o cargo[9], tienen contacto con los datos personales, pudiendo efectuar acciones que excedan la legitimidad derivada del cumplimiento de tal cargo.
Esta postura se apoya en un sector de la doctrina que no duda en considerar que dicho deber de secreto es independiente de otras obligaciones de secreto, como las referidas a información bancaria, tributaria o al secreto profesional, hecho que posibilita que un empleado pueda ser también obligado[10], simplemente en función de su cargo o función dentro de la organización responsable del tratamiento. Asimismo, en la LPDP nada orienta a que dicha obligación se circunscriba a quienes están vinculados por contrato laboral, considerando que la contratación de servicios implica la inclusión de un tercero en el tratamiento[11].
Tal situación plantea una tarea interesante concerniente a la asignación de responsabilidades derivadas de un incumplimiento, lo cual requiere también la evaluación de aptitud de las medidas de seguridad implementadas que, de ser suficientes, permitirían la identificación de empleados que hayan accedido o efectuado el tratamiento de datos personales sin autorización, coadyuvando a la determinación de responsabilidades.
La responsabilidad extensible señalada debe significar un incentivo para las organizaciones para la mejora de sus sistemas de seguridad preventivos, en el enfoque de detección y prevención de amenazas consistentes en comportamientos humanos, a través de la implementación de registros de trazabilidad de acciones de usuarios, la educación en torno al secreto que debe guardarse sobre los datos personales y las consecuencias jurídicas de su incumplimiento, pasando también por medidas contractuales y de coerción interna (sanciones establecidas en los reglamentos internos de trabajo).
Supuestos de exención de la obligación
El segundo párrafo del artículo establece ciertas condiciones en las que la obligación es superada, ya sea por una resolución judicial firme, como limitación válida al derecho de la persona sobre sus datos (como suele suceder con la actuación de pruebas solicitada por una de las partes de un proceso judicial, consistente en el requerimiento de información a la responsable del tratamiento), así como razones relativas a la defensa nacional, seguridad pública o sanidad pública, que por constituir intereses nacionales de alta trascendencia, suelen ser aceptadas como factores que restringen el ejercicio de tal derecho, siempre que tenga una debida fundamentación, emitida por el órgano competente.
La exención de la obligación por el consentimiento válidamente otorgado por el titular de los datos personales, resulta acorde con la preservación del imperio de la persona sobre su información. En su caso, es importante no solo el cumplimiento de los requisitos de validez de la obtención del consentimiento, sino también que este sea específico, vale decir, que se refiera a una acción específica (que no haya sido previamente autorizado) y sobre datos específicos, considerando la menor restricción de su derecho, lo cual se complementa con la posibilidad de ejercitar sus derechos.
5. Conclusiones
En la normativa de protección de datos personales, la obligación de confidencialidad constituye una obligación autónoma tanto en su redacción, en lo referente a su ámbito de aplicación y hasta en la tipificación de su incumplimiento como tipificación.
Dicha obligación contribuye a preservar el dominio de la persona sobre sus datos al constituir sobre el responsable del tratamiento, un deber de exclusión de toda persona que no tenga autorización u otro tipo de legitimación para acceder o efectuar actividad de tratamiento alguna sobre tales datos personales.
Siguiendo la tendencia internacional, así como lo establecido doctrinariamente, el artículo 17 de la LPDP establece esta obligación dirigida a proteger los datos personales, así como las informaciones que permitan su obtención y no necesariamente formen parte de un determinado banco de datos personales; recayendo sobre las responsables del tratamiento, titulares de bancos de datos personales, encargadas y las personas naturales que intervengan en el proceso, al prestar servicios o ser subordinadas de las anteriores.
Dicha extensión de la responsabilidad deriva en la necesidad de las organizaciones de afinar sus medidas de seguridad dirigidas a la prevención, supervisión y disuasión de conductas que puedan vulnerar la confidencialidad de los datos personales que se encuentran bajo su custodia.
[1] Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS
“Artículo 132.- Infracciones
Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.
- Son infracciones leves
a) Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.
(…)
- Son infracciones graves:
(…)
c) Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.
(…)
g) Incumplir la obligación de confidencialidad establecida en el artículo 17 de la Ley Nº 29733.”
[2] Sentencia del Tribunal Constitucional en el Expediente N° 1797-2002/HD, del 29 de enero de 2003:
“3. (…) el derecho a la autodeterminación informativa no puede identificarse con el derecho a la intimidad, personal o familiar, reconocido, a su vez, por el inciso 7) del mismo artículo 2° de la Constitución. Ello se debe a que mientras que este protege el derecho a la vida privada, esto es, el poder jurídico de rechazar intromisiones ilegítimas en la vida íntima o familiar de las personas, aquel garantiza la facultad de todo individuo de poder preservarla controlando el registro, uso y revelación de los datos que les conciernen.”
[3] Constitución Política del Perú
“Artículo 2. Toda persona tiene derecho:
(…)
- A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.”
[4] ZAMUDIO SALINAS, María de Lourdes. El marco normativo latinoamericano y la ley de protección de datos personales del Perú. En Revista Internacional de Protección de Datos Personales. N° 1, Julio-Diciembre 2012. Universidad de los Andes, Facultad de Derecho. Bogotá, Colombia, 2012. P. 45.
[5] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:
“Artículo 16.- Confidencialidad del tratamiento
Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, solo podrán tratar datos personales a los que tengan acceso cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal.”
Revisado aquí, el 11 de diciembre de 2019.
[6] Ley 25326, Ley de Protección de los Datos Personales
“Artículo 10.- (Deber de confidencialidad).
- El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos.
- El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.”
Revisado aquí, el 11 de diciembre de 2019.
[7] Ley Federal de Protección de Datos Personales en Posesión de los Particulares
“Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.”
Revisado aquí, el 11 de diciembre de 2019.
[8] Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales
“Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
(…)
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.”
Revisado aquí, el 11 de diciembre de 2019.
[9] REMOLINA ANGARITA, Nelson. Tratamiento de datos personales. Aproximación internacional y comentarios a la Ley 1581 de 2012. Legis Editores S.A., Bogotá, Colombia, 2013, p. 221.
[10] DÁVARA FERNÁNDEZ DE MARCOS, Isabel. Hacia la estandarización de la Protección de Datos Personales. Propuesta sobre una “tercera vía o tertium genus” internacional. Wolters Kluwer España, S.A. Madrid, España, 2011, pp. 370-372.
[11] Conviene anotar que, si bien no es la modalidad más adecuada de incluir definiciones en un conjunto normativo, el reglamento de la LPDP incluye en su artículo 2 la definición del “tercero”, de forma amplia, que incluye tanto a quien actúa bajo subordinación, como a quien es subcontratado:
Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS
“Artículo 2.- Definiciones.
Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:
(…)
- Tercero: Es toda persona natural, persona jurídica de derecho privado o entidad pública, distinta del titular de datos personales, del titular o encargado del banco de datos personales y del responsable del tratamiento, incluyendo a quienes tratan los datos bajo autoridad directa de aquellos.
La referencia a “tercero” que hace el artículo 30 de la Ley constituye una excepción al significado previsto en este numeral.”
