Escribe: Raúl Vásquez Rodríguez*
1. Introducción
La Autoridad Nacional de Protección de Datos Personales (APDP), a través de su Dirección de Fiscalización e Instrucción, inició un procedimiento sancionador de oficio al Banco de Crédito del Perú (BCP), que habría permitido la violación a su sistema de seguridad y con ello, el acceso no autorizado de terceros a los datos personales de sus clientes, en inobservancia de uno de los principios rectores del tratamiento de datos personales establecidos por la Ley 29733, Ley de Protección de Datos Personales (LPDP), el principio de Seguridad.
Los asuntos de seguridad de la información son obviados por muchos abogados, al creerse que el estudio de los factores de una violación de seguridad[1] como la imputada al BCP implica adentrarse en especialidades “ajenas al Derecho”, como las tecnologías informáticas, pensamiento contrario a la interdisciplinariedad necesaria para un adecuado tratamiento de datos personales en la sociedad de la información.
Este caso ofrece un ejercicio para despejar tal reticencia y remarcar ciertas nociones fundamentales de la LPDP y su reglamento, aprobado por medio del Decreto Supremo N° 003-2013-JUS (Reglamento de la LPDP). Se iniciará el presente trabajo con el repaso de dichas nociones, a fin de tener clara la importancia de las normas señaladas, para incidir luego en lo referido al principio de Seguridad.
2. Alcances generales de la LPDP
De acuerdo con la sentencia del Tribunal Constitucional recaída en el Expediente 17971-2002/HD-TC[2], el derecho fundamental a la protección de datos personales (denominado “autodeterminación informativa”) del numeral 2 del artículo 6 de la Constitución Política del Perú[3], premune a la persona de protección de su privacidad a través del “señorío sobre su información”[4], vale decir, el poder de decidir qué hacer con sus datos personales y en el caso de actividades de terceros con estos, si las permite o no, conservando el dominio sobre estas mediante el conocimiento y control de las actividades de tratamiento subsecuentes y la identidad de terceros involucrados.
La LPDP garantiza dicho poder de la persona (definida como “titular de datos personales”), al establecer sus derechos, los deberes de los responsables del tratamiento de sus datos personales, las definiciones (datos personales, datos sensibles, tratamiento de datos personales, entre otros)[5] y esencialmente, los principios rectores que son las pautas aplicables al desarrollo de tal tratamiento[6].
El título I de la LPDP establece la lista enunciativa de los mencionados principios rectores, que a su vez son complementados por otros artículos de la misma ley y de su reglamento, aprobado por Decreto Supremo 003-2013-JUS (Reglamento de la LPDP), con la imposición de los mencionados deberes. Dichos principios y sus normas complementarias constituyen condiciones de licitud del tratamiento, que deben acatarse de forma concurrente y cuyo incumplimiento puede ser denunciado ante la APDP y, de ser el caso, sancionado.
La garantía de control o dominio sobre los datos personales otorgada por el principio de seguridad, consiste en obligar al responsable del tratamiento de dichos datos (sea titular del banco de datos personales, encargado de tratamiento[7] o persona que sin un banco de datos personales efectúa el tratamiento) a adoptar las medidas apropiadas para resistirse y poder prevenir su alteración o su invasión; situaciones que ponen en riesgo o atentan efectivamente contra dicho dominio[8], al afectarse las condiciones del tratamiento que conoce y que no impidió, y a su vez, configurarse una invasión a su privacidad.
Dicho principio se encuentra en el artículo 9 de la LPDP, el cual es complementado por el artículo 16 de la misma ley, los cuales, conjuntamente, desarrollan la obligación señalada de la forma a analizar en el siguiente acápite.
3. El principio de seguridad en la LPDP
El artículo 9 contempla el principio de seguridad en los siguientes términos:
Artículo 9. Principio de seguridad
El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
Como se mencionó anteriormente, el contenido de dicho principio rector del tratamiento de datos personales, es complementado por el artículo 16 de la misma ley, transcrito a continuación:
Artículo 16. Seguridad del tratamiento de datos personales
Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la Autoridad Nacional de Protección de Datos Personales, salvo la existencia de disposiciones especiales contenidas en otras leyes.
Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este artículo.
De la lectura conjunta de ambos artículos, se desprende que el objetivo del principio es garantizar la seguridad de los datos personales ante los siguientes riesgos específicos:
a) Alteración: Cambio en el contenido de los datos personales, que se puede dar a través del sistema utilizado para su tratamiento o en el caso del tratamiento no automatizado, con la manipulación del soporte impreso o escrito donde se plasmaron tales datos.
b) Pérdida: Desaparición parcial o total del contenido de los datos personales, debido a su eliminación en el respectivo soporte, la destrucción o sustracción de este.
c) Tratamiento o acceso no autorizado: Acceso y actividad de tratamiento de datos personales efectuada por una entidad no autorizada o por una persona, vinculada o no al responsable, que carezca de autorizaciones o de una cualidad personal (cargo) que lo legitime para acceder o efectuar la mencionada actividad.
Se aprecia entonces que, a través del control de tales riesgos, se busca preservar el carácter completo y exacto de los datos almacenados y la posibilidad de acceder y utilizar los mismos para una determinada actividad lícita y legítima, reservando esta posibilidad exclusivamente a las personas autorizadas, preservando los valores de integridad, disponibilidad y confidencialidad de la información, incluidos en la definición de seguridad digital aprobada mediante el Decreto Supremo 050-2018-PCM[9].
Por su parte, es pertinente preguntarse qué medios tiene prevista la normativa para mitigar tales riesgos. Se menciona en la LPDP tres tipos de medidas que debe adoptar el responsable del tratamiento, reseñadas a continuación:
a) Medidas técnicas: Uso de dispositivos, programas, herramientas u otros elementos desarrollados en el entorno de los soportes automatizados o no automatizados que, sin intervenir en la conducta humana, puedan prevenir situaciones que afecten la integridad, disponibilidad y confidencialidad de los datos.
Existen medidas físicas como los dispositivos de seguridad perimetral de los centros de datos o los cierres mecánicos en soportes corpóreos; y medidas lógicas, aplicadas a través de los sistemas automatizados, como el cifrado, bloqueo de bases de datos, contraseñas, registros de interacción lógica, las copias de respaldo (back up) y controles de accesos de los usuarios de un sistema[10].
b) Medidas organizativas: Disposiciones de carácter interno que establezcan o induzcan prácticas individuales y/o colectivas para el manejo adecuado de datos personales, así como la supervisión o control de las mismas a través de mecanismos como la supervisión o la asignación de perfiles. Como ejemplo están las políticas generales de seguridad, definición de procedimientos de gestión de perfiles, la impartición de capacitaciones, así como los registros de incidencias[11].
c) Medidas legales: Establecimiento de recursos coercitivos directos para evitar conductas contrarias la seguridad (responsabilidad civil, penal y/o administrativa de la persona o entidad responsable de una actividad de tratamiento), presentes en cláusulas contractuales o, para el caso de los trabajadores, en las disposiciones sancionadoras que se encuentren en el Reglamento Interno de Trabajo.
La aplicación de todas las medidas no es exigible, sino las que sean necesarias para la actividad de tratamiento específica y de las categorías de datos personales, debiendo obtener como resultado un entorno propicio para la mitigación de los riesgos.
En tal sentido, no es dable exigir la misma rigurosidad para el tratamiento de datos sensibles (hospitales o financieras, que manejan datos sensibles, como datos de salud o ingresos financieros) en el caso del tratamiento de datos de contacto (correo electrónico, dirección postal, teléfono), ni equiparar obligaciones para el tratamiento de datos personales de clientes de una empresa que opera en todo el Perú, que para una PyME de ámbito local.
Conociendo ya las clases de medidas de seguridad y los valores de seguridad de información que se busca proteger, es pertinente preguntarse cómo podría configurarse la inobservancia del principio de seguridad.
4. Escenarios de inobservancia del principio de seguridad
Una interpretación literal de los artículos analizados implica asumir que el acatamiento del principio se perfecciona con evitar totalmente las brechas de seguridad mencionadas, establecer un entorno en el que no sucedan tales hechos, en virtud de la esencia preventiva de las medidas de seguridad. Sin embargo, el avance de la tecnología y su permanente ventaja respecto del estado de la técnica, que se acentúa más en el Perú, convierte dicho propósito en un ideal con el constante e inminente riesgo de ser superado, por lo que a su vez, se requiere dinámica en los sistemas de seguridad[12].
Por su parte, debe tenerse en cuenta la naturaleza de varias medidas de seguridad específicas, como los registros de incidencias y la generación de copias de respaldo, que se basa en la aceptación de una eventual vulnerabilidad y centra su efecto en la mitigación de sus efectos dañinos sobre los derechos de los titulares de datos. Así también, sabiendo la permanente presencia de amenazas y vulnerabilidades que conllevan riesgos (al tenerlas identificadas), existen medidas organizativas encaminadas en instruir sobre acciones a tomar en el caso de la concreción de dichos riesgos.
Ahora bien, ¿qué sucede ante una brecha de seguridad instantánea? Concordando con lo señalado anteriormente, debe evaluarse si aquella fue propiciada por deficiencias en las medidas de seguridad y si existe la imposibilidad de mitigación de los efectos dañinos y del establecimiento de responsabilidades derivadas de aquellas deficiencias.
En este punto debe reiterarse lo anotado a la introducción, sobre la necesaria intervención legal en las medidas de seguridad, pues no se circunscribe a los recursos tecnológicos o mecánicos, sino que abarca el estudio de la adecuación de sus previsiones organizativas y/o estipulaciones para mitigar los riesgos, así como del cumplimiento de las mismas; debiendo surgir de la casuística los criterios para la calificación de tales factores.
De otro lado, conviene precisar que un adecuado programa de seguridad también permite develar el incumplimiento de otras obligaciones contempladas en la LPDP y su reglamento, como puede suceder con la de guardar confidencialidad sobre los datos personales, cuya importancia es mayor en el tratamiento de datos sensibles.
5. Conclusiones
El principio de seguridad garantiza al titular de los datos personales la adopción de medidas, por parte de los responsables del tratamiento de tales datos, con las que se mitigue los riesgos de pérdida, alteración, tratamiento o acceso no autorizado a ellos, a fin de mantener incólume el derecho del titular de datos personales en el dominio sobre sus datos.
La observancia del principio de seguridad en el tratamiento de datos personales es una tarea interdisciplinaria, puesto que la implementación de las medidas de seguridad conlleva tanto aspectos técnicos, como legales y concernientes a la organización de las empresas.
El objetivo de la implementación de las medidas de seguridad es la creación de un entorno seguro y confiable para el tratamiento de los datos personales, donde el responsable tenga la capacidad para mitigar los riesgos mencionados y contrarrestar sus efectos dañinos. La ausencia de tal entorno, que puede ser delatada por ser causa de una brecha de seguridad, implica el incumplimiento del principio de seguridad causada por la carencia de las medidas de seguridad adecuadas para el tipo de tratamiento o las clases de datos personales que maneje.
* Abogado y Magíster en Derecho de la Propiedad Intelectual y Derecho de la Competencia por la Pontificia Universidad Católica del Perú. Especializado en Derecho Administrativo por la Universidad de Salamanca (España). Especializado en Protección de Datos Personales por el Institute of Audit & IT-Governance así como por la Fundación CEDDET y la Agencia Española de Protección de Datos. Con Estudios de especialización en Derecho Corporativo y Fintech por la Universidad ESAN Estudios de Gestión de Negocios y Supply Chain por la Universidad Pontificia Comillas (España).
[1] La LPDP no cuenta con una definición legal del concepto de brecha o violación de seguridad, como sí el numeral 12 del artículo 12 del Reglamento General de Protección de Datos Personales, que establece:
“Artículo 4. Definiciones: (…) 12) violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
[2] Sentencia del Tribunal Constitucional en el Expediente 1797-2002/HD, del 29 de enero de 2003: “3. (…) el derecho a la autodeterminación informativa no puede identificarse con el derecho a la intimidad, personal o familiar, reconocido, a su vez, por el inciso 7) del mismo artículo 2° de la Constitución. Ello se debe a que mientras que este protege el derecho a la vida privada, esto es, el poder jurídico de rechazar intromisiones ilegítimas en la vida íntima o familiar de las personas, aquel garantiza la facultad de todo individuo de poder preservarla controlando el registro, uso y revelación de los datos que les conciernen.”
[3] Constitución Política del Perú
“Artículo 2. Toda persona tiene derecho: (…) A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.”
[4] LETE DEL RÍO, José Manuel. Derecho de la Persona. Madrid: Editorial Tecnos, S.A., 1996, pp. 176-177.
[5] Ley 29733, Ley de Protección de Datos Personales.
“Artículo 2. Para todos los efectos de la presente Ley, se entiende por: (…)
- Datos personales. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
- Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual. (…)
- Encargado de tratamiento de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales. (…)
- Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad. (…)
- Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.”
[6] ZAMUDIO SALINAS, María de Lourdes. El marco normativo latinoamericano y la ley de protección de datos personales del Perú. En Revista Internacional de Protección de Datos Personales. N° 1, Julio-Diciembre 2012. Universidad de los Andes, Facultad de Derecho. Bogotá, 2012, p. 45.
[7] Ver nota 5.
[8] DÁVARA RODRÍGUEZ, Miguel Ángel. La Protección de Datos Personales en el Sector de las Telecomunicaciones, Universidad Pontificia Comillas, Madrid, 2000, pp. 24-25.
[9] Decreto Supremo 050-2018-PCM.
“Artículo 2.- Definición de Seguridad Digital en el ámbito nacional. La Seguridad Digital en el ámbito nacional es el estado de confianza en el entorno digital que resulta de la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a los riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores del sector público, sector privado y otros quienes apoyan en la implementación de controles, acciones y medidas; debiéndose tener presente para estos efectos los aspectos siguientes: (…)
b) Nota 2: Las medidas proactivas y reactivas comprenden tecnología, políticas, controles, programas de capacitación y sensibilización que tienen por finalidad preservar la confidencialidad, integridad y disponibilidad de la información contenida en el entorno digital.
[10] DEL PESO NAVARRO, Emilio. La Seguridad de la Información en la Ley de Protección de Datos de Carácter Personal. En XII Encuentros Sobre Informática y Derecho, coordinado por DÁVARA RODRÍGUEZ, Miguel Ángel. Aranzadi Editorial, Navarra, 2000, pp. 47-48.
[11] CASTAÑEDA GONZÁLEZ, Alberto. Protección de Datos de Carácter Personal: Diez Pasos para la Plena Adecuación a la LOPD y al Reglamento de Medidas de Seguridad. En Derecho Tecnológico. Respuestas Legales a Nuevos Retos. Ediciones Experiencia, S.L., Barcelona, 2004, p. 37.
[12] REMOLINA ANGARITA, Nelson. Tratamiento de datos personales. Aproximación internacional y comentarios a la Ley 1581 de 2012. Legis Editores, Bogotá, 2012, pp. 216-217.