Las empresas constituidas en el Perú (públicas, privadas o de capital mixto), además de cumplir con las obligaciones previstas en las leyes especiales (sectoriales) que rigen su actividad, se encuentran sujetas al requerimiento de información por parte de entidades públicas. Muchas de esas solicitudes comprenden una cantidad importante de datos de carácter personal.
Ahora bien, es importante señalar que toda entrega de datos personales a un tercero, en este caso a entidades públicas, califica como una transferencia de datos personales. Una transferencia es toda comunicación (entrega o suministro) de datos personales a una persona distinta del titular de los mismos para el cumplimiento de fines directamente relacionados con funciones del emisor o del receptor[1].
Esta figura ha sido definida en el numeral 18 del artículo 2 de la Ley N°29733, Ley de Protección de Datos Personales (LPDP), como toda “transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales”. En ese sentido, cualquier suministro de datos personales supone un tratamiento de datos bajo el amparo del titular del banco de datos quien, en virtud de una finalidad específica, revela los datos a un tercero[2].
Sin perjuicio de lo explicado en el párrafo precedente, se debe considerar dos situaciones puntuales: i) no toda entrega de datos personales a entidades públicas está condicionada al cumplimiento de las reglas establecidas por la LPDP y ii) existen supuestos particulares de transferencias en los que no será necesario contar con el consentimiento de los titulares de la información personal. En ese sentido, resulta necesario conocer -a la luz de lo previsto en la LPDP- cuáles son los límites de los pedidos que realiza la Administración en el marco de sus potestades.
1.Situaciones fuera del ámbito de aplicación de la normativa de protección de datos personales
Es indispensable hacer referencia al artículo 3 de la LPDP, el cual ha establecido los supuestos en los que no son aplicables sus disposiciones.
El numeral 2 del mencionado artículo señala que no es aplicable la norma a los datos personales “(…) contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito”.
En ese orden de ideas, todo tipo de tratamiento de datos personales (requerimiento de información) realizado por parte de entidades públicas, orientado al desarrollo de actividades en materia penal, defensa nacional y seguridad pública se encuentra fuera del marco normativo de la LPDP. Por lo tanto, toda solicitud de datos personales que se realice al amparo de las finalidades expresadas en el artículo 3 deberá cumplirse en el marco de la normativa procesal, penal o administrativa que corresponda aplicar.
Asimismo, es necesario tener en cuenta que la comunicación de información por parte de una empresa a una entidad pública que la requiera en el marco de actividades orientadas a cumplir con fines previstos en el artículo 3, se constituye como un supuesto de transferencia de datos personales al que no le resulta aplicable la LPDP porque así lo ha determinado la propia norma. Al estar exento de las obligaciones legales, no será necesario que la transferencia cuente con el consentimiento de los titulares de los datos, tampoco que se les informe sobre dicha actividad conforme lo dispone la LPDP para los casos en los que sí rigen sus dispositivos.
A manera de ejemplo, se puede indicar que las solicitudes de datos personales que sean formuladas por el Ministerio Público, titular de la acción penal, no estarán sujetas a las obligaciones que la LPDP exige cumplir a las entidades que realicen tratamiento de datos personales.
2. Reglas aplicables a la transferencia de datos personales que se realiza con motivo de requerimientos formulados por entidades públicas
La LPDP también dispone que para la realización de una transferencia de datos personales será necesario contar con el consentimiento del titular de los datos. De manera expresa, dicho mandato es recogido en el artículo 19 del Reglamento de la referida norma, el cual dispone que toda “(…) transferencia de datos personales requiere el consentimiento de su titular, salvo las excepciones previstas en el artículo 14 de la Ley (…)”.
El citado artículo 14 establece una lista de supuestos en los que no será necesario contar con el consentimiento del titular de los datos para realizar su tratamiento. De esta manera, cuando la transferencia de datos se realice motivada en el cumplimiento de cualquiera de los casos previstos en el mencionado artículo, el emisor de los datos podrá hacerlo sin contar con la autorización del titular.
Con la finalidad de atender una solicitud o requerimiento de información por parte de una entidad pública es indispensable tener presente los casos previstos en el mencionado artículo 14, de manera particular los desarrollados en los numerales 1 y 13.
El numeral 1 del artículo 14 de la LPDP señala que no será necesario contar con el consentimiento del titular de los datos personales cuando “(…) se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias”. Por su parte, el numeral 13 dispone que no se requiere el consentimiento cuando el tratamiento derive “(…) del ejercicio de competencias expresamente establecidas por Ley”.
De esta manera, las transferencias de datos personales que realice una empresa a consecuencia de una solicitud presentada por una entidad pública no requieren del consentimiento de los titulares de los datos cuando se sustenten en el cumplimiento de las funciones atribuidas a una entidad pública o en el ejercicio de competencias establecidas en una norma.
Ahora bien, es importante mencionar que la empresa que reciba una solicitud de datos personales deberá tener en cuenta los principios de finalidad, calidad y proporcionalidad para atender dichos pedidos.
Según el artículo 6 de la LPDP, la finalidad debe ser determinada, explícita y lícita, lo que supone que el tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido establecida de manera inequívoca al momento de su recopilación; cualquier otra finalidad que no sea la inicialmente informada al momento de la recopilación de los datos personales requerirá de consentimiento.
En virtud al citado principio, la solicitud formulada por la entidad pública debe detallar la finalidad del tratamiento, así como la referencia legal en la que se encuentra prevista sus competencias y funciones que la habilitan a requerir datos de carácter personal. La ausencia de una explicación faculta al afectado a solicitar una aclaratoria a la entidad. Y si el requerimiento no guarda relación con las fines previstos en los numerales 1 y 13 del artículo 14, la empresa no podrá transferir datos personales sin el consentimiento del titular.
Por su parte, el principio de calidad señala que los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Asimismo, deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento, tal como lo establece el artículo 8 de la LPDP. En ese orden de ideas, las empresas deben tener en cuenta el principio explicado con el objetivo de determinar si los datos personales requeridos por una entidad pública son necesarios y pertinentes con respecto a la finalidad que motiva la notificación de la solicitud de requerimiento.
El principio de proporcionalidad, que guarda una estricta relación con el principio de calidad, prescribe que todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que éstos hubiesen sido recopilados. Con este principio se quiere evitar que se recopile información que no es razonablemente pertinente para cumplir la finalidad del tratamiento, lo que supone una limitación para cualquier forma de recopilación que no esté justificada. De acuerdo con el mencionado principio, regulado en el artículo 7 de la LPDP, las empresas podrán oponerse al requerimiento de aquellos datos personales que resulten excesivos para el cumplimiento de las finalidades previstas en los numerales 1 y 13 del artículo 14 de la LPDP.
Finalmente, es importante resaltar que la Directiva de Seguridad, aprobada mediante Resolución Directoral Nº 019-2013-JUS/DGPDP, también ha establecido una serie de medidas de seguridad que deben ser cumplidas tanto por el transferente (empresas) como el receptor de la información (entidad pública).
3. Conclusión
Sin duda, es claro que las entidades públicas cuentan con las potestades y facultades suficientes para poder requerir información (datos personales) a las empresas. Sin embargo, dichas solicitudes no pueden realizarse sin tener en cuenta los límites y disposiciones que la normativa de protección de datos personales ha previsto; las mismas que deben ser cumplidas por todos los sujetos que realicen tratamiento de datos de carácter personal.
[1] CÁRDENAS, Ignacio. Memento experto. Protección de Datos. Ed. Francis Lefebvre, Madrid, 2012, pág. 92.
[2] COUDERT, Fanny. “Relaciones con otras empresas”, en ALMUZARA ALMAIDA, Cristina (Coord.), Estudio práctico sobre la protección de datos de carácter personal, Ed. Lex Nova, Valladolid, 2007, pág. 328.
Fuente de imagen: http://www.peruconsume.com/2015/07/abc-peru-consume-proteccion-de-datos.html