Artículo escrito por Mario Zúñiga. Líder de Competencia y Mercados, EY Law.
La regulación de la protección de datos personales tiene como fundamento proteger toda información que identifica a las personas de un uso no autorizado. Esto en línea con lo establecido en la Constitución Política del Perú (artículo 2, numeral 6), que otorga incluso la naturaleza de derecho fundamental a esta protección. Reciben especial protección los denominados “datos sensibles” (datos biométricos, origen étnico, ingresos, convicciones religiosas y políticas, entre otros).
Sin ánimo de soslayar la importancia de la privacidad, que más allá de ser un valor protegido independientemente es fundamental para el libre desarrollo de nuestra personalidad; existen algunos aspectos en los que la protección se torna en proteccionismo, y las necesarias formas en innecesarios formalismos.
A manera de ejemplo, podemos citar el caso de la Directiva Administrativa N° 294-MINSA/2020/OGTI [1] que establece el Tratamiento de los Datos Personales relacionados con la Salud o Datos Personales en Salud, que prohíbe la construcción de listados nominales que contengan datos personales de pacientes o enfermos. ¿Ni siquiera si se cuenta con consentimiento informado? ¿Por qué la Ley prohíbe de manera absoluta la creación de bases de datos que pueden beneficiar a los propios titulares de datos personales? La ley hace referencia puntual al caso de programas sociales, pero podríamos pensar en muchos tipos de bases de datos que podrían servir para ofrecer determinados productos o servicios que los pacientes pueden necesitar; o para facilitar el acceso a historias clínicas u otra información similar.
Como pasa muy seguido con la regulación en nuestro país, se está tomando en cuenta los potenciales perjuicios de una actividad, pero no los potenciales beneficios.
Algo similar sucede con el “control de razonabilidad” del consentimiento que hace la Autoridad de Protección de Datos Personales. En efecto, la Autoridad ha distinguido en un pronunciamiento entre finalidades principales y accesorias para el uso de los datos personales recabados; obligando a las empresas a recabar un segundo consentimiento, separado y específico. Ello bajo la premisa de que no puede “condicionarse” la prestación de un servicio a la entrega de determinada información. Nuevamente, se ve solo una cara de la moneda. ¿Por qué no dejamos que el titular juzgue si los usos son razonables o no? Siempre se puede cancelar o acotar el consentimiento. ¿Se comparte la premisa de muchas de nuestras regulaciones según la cual el consumidor es la “parte débil” de nuestra regulación?
Esta interpretación podría constituir una traba para determinados modelos de negocio en los que el consumidor “paga” el servicio con su información (las plataformas digitales, por ejemplo). ¿Si el consentimiento es lo suficientemente claro para el titular, por qué la Ley debe regular su alcance?
En relación con el consentimiento, creemos que hay espacio para regular algunos supuestos de consentimiento tácito (y, de hecho, la Directiva sobre Videovigilancia va en ese sentido, al regular que el cartel informando sobre videovigilancia es suficiente); considerando que, en muchos casos, la propia naturaleza de la relación entre el titular del dato personal y el responsable del tratamiento implica la cesión de, por ejemplo, derechos de imagen. Si un modelo o celebridad, por ejemplo, celebra un contrato publicitario, parte esencial de ese contrato es el uso comercial de su imagen y nombre. El contrato, por su naturaleza, implica un consentimiento. En la realidad, encontramos, sin embargo, que la Autoridad solicita a los administrados demostrar que han obtenido de los titulares el consentimiento para el uso de su imagen incluso cuando se ha utilizado fotos de stock.
Es pertinente, luego de algunos años de vigencia y experiencia adquirida, revisar la legislación de protección de datos personales. ¿Podríamos tal vez pasar de un modelo de reglas detalladas y controles previos a uno de control posterior en el que el Estado priorice la fiscalización y sanción de las prácticas que realmente afectan a las personas (robo-llamadas, filtrado o robo de información, entre otras)? Creemos que sí.
[1] Directiva Administrativa N° 294-MINSA/2020/OGTI del 15 de setiembre de 2020.
