El 3 de julio de 2011 se publicó la Ley de Protección de Datos Personales (la “Ley”), reglamentada posteriormente a través del Decreto Supremo No. 003-2013-JUS (el “Reglamento”). Ambas normas constituyen un avance significativo en el desarrollo y promoción de la protección de datos personales en el Perú, debido a que por primera vez  se implementaron medidas acondicionadas a los avances de las nuevas tecnologías y el crecimiento de los bancos de datos personales.

Concretamente, el objetivo de estas normas es el “adecuado tratamiento” de los datos personales, los cuales, de acuerdo con el artículo 2 de la Ley, comprenden “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados[1]”. Por su parte, el tratamiento de datos personales puede definirse como “aquella actividad o procedimiento de cualquier naturaleza que se realice sobre el dato personal, sea desde su recopilación, registro, organización, extracción, consulta, difusión e interconexión con otros datos [2]“. El artículo 3 de la Ley agrega que las normas tutelan el tratamiento de los datos personales “contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional[3]”.

Según lo señalado en las disposiciones complementarias transitorias de la Ley y el Reglamento, a partir de hoy, 8 de mayo de 2015, entrarán en vigencia todas las exigencias de dichas normas. Si bien durante los meses anteriores existió un debate[4] sobre las obligaciones que efectivamente se encontraban vigentes, a partir de este momento no existe impedimento alguno para que la Autoridad Nacional de Protección de Datos Personales (la “ANPDP”) proceda a fiscalizar y garantizar el cumplimiento de las normas de protección de datos personales.

En esa línea ¿cuáles son las obligaciones creadas por las normas de protección de datos personales? ¿Cómo podrían implementarse? A continuación, presentaremos un breve resumen de las principales disposiciones exigidas por la Ley y el Reglamento, las cuales están dirigidas no solo a personas jurídicas privadas y públicas sino también a las personas naturales que poseen bancos de datos personales.

1. El Registro de los Bancos de Datos

El artículo 34 de la Ley establece que todas las personas que posean bancos de datos personales deben inscribirse como tales (es decir, como “titulares” de los bancos) ante la ANPDP. Ello no implica que deban presentar el contenido de la información sino únicamente reportar las categorías de datos que se poseen y los usos previstos. De hecho, según el Texto Único de Procedimientos Administrativos del Ministerio de Justicia (al cual se encuentra adscrita la ANPDP), el registro de los bancos de datos se realiza completando un formulario oficial[5] con carácter de declaración jurada, sin que sea necesario acompañar la evidencia de la información en poder de los titulares.

Por supuesto, la correcta elaboración del formulario no implica únicamente completar los espacios en blanco del documento. De manera previa debe establecerse si en efecto, la persona cuenta con un banco de datos, para lo cual deberá evaluarse si los datos califican como personales de acuerdo con los términos de la Ley y si estos se encuentran sistematizados y organizados de tal manera que puedan ser accesibles de manera razonable.

Luego de ello deben identificarse: (i) los datos de las personas naturales que se encuentran en el banco (por ejemplo si se cuenta con nombres, datos biométricos, datos económicos, etc.); (ii) los usos para los que habitualmente se destina dicha información; (iii) las formas en que esta información es obtenida; (iv) si el titular del banco realiza transferencias de dicha información a terceros que no mantienen una vinculación con el titular de los datos personales y; (v) la ubicación física del banco de datos.

Es decir, en la práctica, la entrega del formulario exige un análisis profundo de la información que posee el titular de banco de datos, circunstancia que implica un costo al que debe sumarse la tasa aplicable por el registro de cada banco[6].

Por otro lado, es importante resaltar que de acuerdo con el Sistema de Búsqueda de Bancos de Datos Personales inscritos de la ANPDP, a la fecha se encuentran registrados 1641 bancos de datos, número que todavía se encuentra muy por debajo de la totalidad de empresas formales que existen en el país[7]. Si bien es cierto que la difusión del registro podría alcanzarse sólo en un tiempo prolongado, queda mucho por avanzar con relación al registro de las grandes empresas (más de 6000 aproximadamente), las cuales por su naturaleza, tienen la mayor cantidad de bancos de datos personales.

2. Obligaciones de Toma de Consentimiento

El principal eje sobre el que se basa la protección de los datos personales es el Consentimiento[8], principio que establece que todo tratamiento de datos personales deberá contar con la autorización del titular de la información. El artículo 13 de la Ley señala que el consentimiento deberá ser previo, informado, expreso e inequívoco.

La adecuación a este principio implica que todos los titulares de los bancos, que realicen tratamiento de datos personales sin contar con la autorización de los titulares de los datos, están obligados a regularizar dicha situación contactando a cada uno de los titulares a fin de obtener su consentimiento en los términos requeridos por la Ley. Ello implicará recurrir a canales como el correo electrónico, llamadas telefónicas y/o visitas a los domicilios que permitan la obtención de la autorización. De lo contrario, todo tratamiento que se realice de los datos será efectuado en abierta vulneración a las normas de protección de datos personales.

No obstante, esta regla general presenta ciertas excepciones que se encuentran descritas en el artículo 14 de la Ley. En dichos casos no se requerirá recabar el consentimiento del titular. A manera de ejemplo el tratamiento sin consentimiento será permitido cuando sea necesario para ejecutar una relación contractual con el titular de los datos personales o cuando deba realizarse para cumplir con alguna disposición legal.

3. Implementación de mecanismos para el ejercicio de los derechos ARCO

Los derechos ARCO se refieren a los derechos de Acceso, Rectificación, Cancelación y Oposición desarrollados en el Título III de la Ley. Tienen por finalidad que los titulares de los datos puedan dirigirse a la persona que posee sus datos personales a fin de que se les permita lo siguiente:

– Acceso: el derecho de toda persona a obtener la información sobre sí misma que sea objeto de tratamiento en bancos de datos o sobre la forma en la que sus datos fueron recopilados, las razones para ello, a solicitud de quien se realizó la recopilación así como las transferencias realizadas.

– Rectificación: el derecho del titular de datos a que se modifique aquella información suya que resulte parcial o totalmente inexacta, incompleta, errónea o falsa.

– Cancelación: el derecho a solicitar la supresión o cancelación de sus datos en un banco de datos por el vencimiento del plazo fijado para su tratamiento o debido a una revocación del consentimiento. Como hemos señalado, esta cancelación no puede aplicar si los datos son necesarios para cumplir con la ley o ejecutar una obligación contractual. Así, por ejemplo, un trabajador no podría exigir la cancelación de la información referida a su nombre, dirección o puesto de trabajo, ya que ésta es necesaria para pagar planillas o enviar una carta de despido.

– Oposición: el derecho a oponerse a determinadas formas de tratamiento que se dan a sus datos (por ejemplo, negarse a que usen la información para una determinada actividad que no sea necesaria para cumplir con un mandato legal o un contrato suscrito con el titular de los datos).

Las organizaciones deben implementar plataformas adecuadas para que los titulares puedan plantear las solicitudes para ejercer los derechos mencionados. Esto implica implementar un canal de atención por escrito (obligatorio) y, si se desea, otros canales informativos paralelos (telefónico o correo electrónico).

Asimismo, en el caso de las empresas con mayor capacidad de recursos, sería conveniente designar uno o más funcionarios específicos encargados de la tramitación de estas solicitudes, así como crear un procedimiento interno de atención. Ello es importante porque, según sea el caso, las solicitudes deben ser atendidas en un plazo que podría ser de hasta veinte (20) días hábiles según el tipo de solicitud[9].

4. Implementación de Medidas de Seguridad.

Probablemente esta sea la exigencia más costosa. De acuerdo con el artículo 16 de la Ley, los titulares de los bancos de datos personales deberán adoptar medidas técnicas, organizativas y legales que garanticen la seguridad y eviten la alteración, pérdida, tratamiento o acceso no autorizado de la información. Los artículos 39, 40 y 41 del Reglamento especifican que entre las exigencias en materia de seguridad se encuentran:

– Implementar un sistema de control de acceso a la información que verifique la identidad de las personas que acceden a los datos. Ello a través de un sistema de usuarios y contraseñas o un sistema de registro de horas y tiempos de acceso a la información por parte de cada usuario.

– Procurar que la transferencia de archivos a otras bases de datos involucre procedimientos que permitan asegurar que el destinatario esperado será quien únicamente tenga acceso a los datos.

– Los ambientes en que se procese, almacene o desde donde se transmita la información, deberán contar con controles de seguridad que sean equivalentes a los de la Norma Técnica Peruana ISO/IEC 17799 EDI – “Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información”.

La ANPDP ha emitido una Directiva que sirve como elemento referencial para identificar las medidas de seguridad que deben aplicarse. La propia Directiva remite a la implementación de otra Norma Técnica, la NTP-ISO/IEC 27001, la cual prescribe la implementación de medidas de seguridad similares a las descritas anteriormente.

En resumen, las medidas de seguridad exigidas por la Ley y el Reglamento poseen tres ejes de implementación: (i) seguridad informática; (ii) seguridad física y; (iii) adecuación organizacional. Ello requiere la presencia no sólo de un equipo legal, sino también de un equipo especializado tanto en recursos humanos como en tecnologías de la información.

Una Implementación Costosa y ¿Eficaz?

La regulación en materia de protección de datos personales ha dispuesto una serie de medidas necesarias para tutelar los derechos fundamentales de Autodeterminación Informativa, Intimidad e Imagen. Así también la regulación encuentra fundamento en la protección necesaria ante la utilización comercial que puede generarse a partir de los datos personales, la utilización con fines ilícitos y en la necesidad de fomentar una cultura de “protección de datos”, asociada con el respeto de los derechos antes mencionados.

Sin embargo, en contraposición a estas ventajas, las normas han dispuesto un conjunto de obligaciones que suponen una serie de costos organizacionales y económicos. Aún es temprano para saber si el precio pagado cumplirá con los objetivos buscados, pero por el momento, es indudable que debe hacerse todo lo posible por cumplir con los requerimientos de la Ley de Protección de Datos Personales y su Reglamento.

Fuente de la imagen: interbel.es

[1] El marco legal asume una noción amplia del concepto de datos personales. Es decir, considera como “personal” cualquier tipo de información que permita relacionarse con alguna persona natural, lo cual involucra información numérica, alfabética, gráfica, acústica, sobre hábitos personales o de cualquier otro tipo concerniente a personas naturales que identifica o hace identificables a las personas naturales. Ello incluye información que individualmente podría no considerarse personal, pero que enlazada a otra sí pueda permitir la identificación de la persona.

[2] TELLEZ GUTIERREZ, Cynthia “La protección de datos en el Perú y su reciente reglamentación.” Disponible en: http://oiprodat.com/2014/07/11/la-proteccion-de-datos-en-el-peru-y-su-reciente-reglamentacion/

[3] Bajo la definición de la Ley, el tratamiento de datos personales sólo se realizará si involucra la utilización de datos personales a través de un sistema o soporte organizado. En otras palabras, solo se protegerán los datos contenidos o destinados a ser contenidos en bancos. Cabe resaltar que esta interpretación no es la que asume la APDP, que en el Oficio No. 116-2014-JUS/DGPDP se pronunció señalando que la protección de datos personales comprendería inclusive el tratamiento de datos realizado fuera de un banco de datos.

[4] Debe señalarse que de acuerdo con la Primera Disposición Complementaria Transitoria del Reglamento, los titulares de bancos de datos personales preexistentes a la entrada en vigencia del Reglamento disponían de un período de dos años para adecuarse a la nueva regulación. Sin embargo, en opinión del Director de la ANPDP Álvaro Quiroga, el plazo de adecuación de dos años únicamente se refería a la implementación de las medidas de seguridad exigidas por las normas de protección de datos personales.  Sobre la posición de la ANPDP ver: GALVEZ, Viviana, “Sobrecostos inadvertidos” en: Semana Económica No. 1450 Diciembre 2014.

[5] El formulario oficial se encuentra disponible en: http://www.minjus.gob.pe/formularios-anpdp/

[6] De acuerdo con el Texto Único de Procedimientos Administrativos del Ministerio de Justicia, por cada banco de datos que se inscriba deberá abonarse un monto igual al  1,35 % de la UIT (aproximadamente S/.  52.30.00).

[7] Al 30 de junio de 2013, el INEI cifraba el número de empresas en 1’713,272.00. Ver más en: http://www.inei.gob.pe/prensa/noticias/micro-pequenas-y-medianas-empresas-concentran-mas-/imprimir/

[8] BERROCAL LANZAROT, Ana Isabel: “Estudio comparativo sobre la protección de datos personales en el ordenamiento jurídico peruano y español” en: Actualidad Jurídica No. 216. Lima, 2011. Pág. 72

[9] Conforme a lo indicado en el artículo 55 del Reglamento.