Bruno Mejía
Gerente, Competencia y Mercados, EY Law Perú
Imagínese esta situación: una empresa llama o envía mensajes de texto insistentemente a su teléfono celular para ofrecerle una nueva tarjeta de crédito o un nuevo modelo de smartphone sin, previamente, haber recabado su consentimiento.
Usted, claro está, se incomoda por lo sucedido y decide no quedarse de brazos cruzados, optando por interponer una reclamación contra la empresa que se comunicó de forma tan pertinaz a su teléfono celular. Viene a la mente la posibilidad de utilizar “WhatsApp No Insista” del INDECOPI para dar cuenta del accionar de la empresa en mención.
Así como usted hay cientos de consumidores que utilizan dicha herramienta para que, posteriormente, el INDECOPI lo utilice como antecedente e inicie, de oficio, procedimientos sancionadores contra las empresas y, de encontrar responsabilidad administrativa, les imponga sanciones. Hasta ahí, todo bien (o así parece).
Lo anotado es lo que está ocurriendo desde fines del año pasado hasta la fecha. La Comisión de Protección al Consumidor N° 3 (CC3) ―órgano colegiado que resuelve los procedimientos sancionadores iniciados de oficio― del INDECOPI ha venido sancionando a empresas, principalmente del sector financiero y de telecomunicaciones, debido a que no cumplieron con recabar el consentimiento previo para el tratamiento de los datos personales de los consumidores al realizar sus comunicaciones comerciales.[1]
Si bien el voto de la CC3 fue unánime para encontrar responsables a las empresas imputadas, no ocurrió lo mismo en los pronunciamientos que, sobre la misma materia, ha emitido su superior jerárquico, es decir, la Sala Especializada en Protección al Consumidor (SPC).
En efecto, la SPC en años anteriores, con voto en mayoría (un ajustado 3 contra 2), emitió pronunciamientos sobre el fondo de denuncias presentadas por consumidores en las que cuestionaban que las empresas habían realizado un tratamiento indebido de sus datos personales.[2] El voto mayoritario señaló que el INDECOPI tenía competencia para conocer estos casos ―que versan sobre el tratamiento de datos personales― considerando que si bien las empresas denunciadas enviaron folletos y correos electrónicos a los clientes con sus datos personales, esto se había efectuado con fines publicitarios y en el marco de una relación de consumo.
Ahora bien, el voto minoritario en ambos casos revocó el pronunciamiento de la primera instancia y declaró improcedentes las denuncias, al considerar que el INDECOPI no era competente para conocer presuntas infracciones relacionadas con el tratamiento indebido de datos personales, correspondiendo dicha competencia, más bien, a la Autoridad Nacional de Protección de Datos Personales (ANPDP), órgano adscrito al Ministerio de Justicia y Derechos Humanos.
La primera interrogante que surge, a partir de ambas posturas asumidas por la SPC, es ¿debe depender en qué rol ―consumidor, trabajador, proveedor― uno se encuentra como persona para saber ante qué autoridad administrativa puede interponer una reclamación, pese a que el cuestionamiento claramente versa sobre una misma materia como puede ser, por ejemplo, el tratamiento indebido que una empresa dio a los datos personales y/o sensibles de uno?
Si seguimos el criterio adoptado por el voto en mayoría de la SPC llegaríamos a la conclusión de que si uno es consumidor, cliente o usuario podría acudir no solo al ANPDP sino también al INDECOPI para hacer valer sus derechos para proteger sus datos personales; pero si uno, en cambio, es trabajador o proveedor ya no podría acudir al INDECOPI, pudiendo solo interponer su reclamación ante la ANPDP. ¿Se justifica este trato distinto? Es otros términos, ¿resulta razonable que en el primer caso existan dos autoridades competentes?
La segunda interrogante es ¿qué norma de nuestro ordenamiento jurídico otorgaba facultades al INDECOPI para conocer sobre las reclamaciones en materia de protección de datos personales? Al respecto, el voto mayoritario señaló que, conforme al artículo 107 de la Ley 29571, Código de Protección y Defensa del Consumidor (Código de Consumo), la presunta afectación de datos personales alegada por el consumidor se produjo a través de un medio publicitario remitido por el proveedor, el cual tenía como finalidad promocionar sus productos y, como consecuencia de ello, el INDECOPI sí era la entidad competente para emitir un pronunciamiento. De una revisión de la norma citada[3], sin embargo, no se desprende claramente la conexión lógica entre dicho artículo y la posición del voto mayoritario.
Sí ofrece algunas luces ante esta interrogante la Sétima Disposición Complementaria Final de la Ley 29733, Ley de Protección de Datos Personales, que establece que, sin perjuicio de la competencia asignada a la ANPDP para salvaguardar los derechos de los titulares de información administrada las Centrales Privadas de Información de Riesgos (Cepirs) o similares, en materia de infracción de los derechos de los consumidores mediante la prestación de los servicios de información brindados por dichos agentes en el marco de las relaciones de consumo, serán aplicables las normas sobre protección al consumidor, siendo el órgano competente la Comisión de Protección al Consumidor del INDECOPI.[4]
Esta disposición pone de manifiesto que el INDECOPI es competente únicamente para conocer denuncias de consumidores por el presunto tratamiento indebido de sus datos personales realizado en la prestación de los servicios de información brindados por las Cepirs o similares. Nada más.
La tercera interrogante es ¿cuál es el nivel de predictibilidad para las empresas (en su condición de titulares de bancos de datos personales) al poder estar potencialmente expuestas a ser denunciadas, por el mismo hecho, fundamento y reclamante, ante el INDECOPI y ante la ANPDP? Ciertamente menos que la que se tendría con una sola entidad competente.
Como acabamos de ver, existe una norma que delimita claramente el accionar del INDECOPI en materia de datos personales, pero pese a eso, conforme al voto mayoritario de la SPC y al voto unánime de la CC3, la entidad sigue emitiendo pronunciamientos que, creo, van más allá de sus competencias en dicha materia.
La predictibilidad no solo debe preocupar a las empresas (como titulares del banco de datos personales), sino también a los ciudadanos (como titulares de datos personales), ya que ninguno sabrá, a ciencia cierta, cuál es la entidad competente para conocer este tipo de reclamaciones y, por tanto, ante cuál podrá ejercer sus derechos de acción y de defensa, respectivamente.
Sobre el particular, creemos que vale la pena resaltar lo señalado en el voto en minoría de la SPC:
- El Estado orienta sus acciones para que la protección al consumidor se convierta en una política transversal que involucre a todos los poderes públicos y, por tanto, se ejerza ―además del INDECOPI― por otras entidades, siempre y cuando estas cuenten con una norma con rango de ley y tutelen la protección de los consumidores y usuarios.
- La LPDP contiene principios y normas que regulan el adecuado tratamiento de los datos personales. Se aplica a todas las personas naturales y jurídicas (en su condición de titulares de los bancos de datos personales), imponiéndoles una serie de obligaciones, entre las cuales está la de recopilar el consentimiento previo, libre, informado, expreso e inequívoco de los titulares de datos personales; siendo que, en caso de acreditarse la comisión de una infracción por su incumplimiento, son pasibles de sanciones administrativas.
- La LPDP, a diferencia del Código de Consumo, sí establece expresamente que la ANPDP tiene, en materia de protección de datos personales, funciones resolutivas, fiscalizadoras y sancionadoras, es decir, que puede conocer, instruir y resolver las reclamaciones formuladas por los titulares de datos personales por la vulneración de sus derechos e, incluso, puede dictar medidas cautelares o correctivas.
Así las cosas, consideramos que es una buena oportunidad a fin de que el INDECOPI, a través de la SPC, pueda evaluar el alcance de sus competencias para conocer reclamaciones en materia de protección de datos personales, pues, tal como se ha señalado, ya existe un marco legal que reconoce expresamente que la ANPDP es la entidad competente para ello.
Zapatero a sus zapatos.
[1] Ver Resoluciones Finales 286-2019/CC3 (América Móvil Perú S.A.C.), 295-2019/CC3 (Telefónica del Perú S.A.A.), 002-2020/CC3 (Banco Falabella Perú S.A.), 003-2020/CC3 (Banco Ripley Perú S.A.), 032-2020/CC3 (Caja Rural de Ahorro y Crédito CAT Perú S.A.), 034-2020/CC3 (Banco Pichincha) y 035-2020/CC3 (Banco Internacional del Perú S.A.A. – Interbank).
[2] Ver Resoluciones Finales 3235-2015/SPC-INDECOPI (Patricia Inés Reátegui Moscoso contra Telefónica del Perú S.A.A.) y 1931-2016/SPC-INDECOPI (Juan Erick Torres Infantes contra Banco Ripley Perú S.A.).
[3] LEY 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR
Artículo 107.- Postulación del proceso
Los procedimientos sancionadores se inician de oficio, bien por propia iniciativa de la autoridad, por denuncia del consumidor afectado o del que potencialmente pudiera verse afectado, o de una asociación de consumidores en representación de sus asociados o apoderados o en defensa de intereses colectivos o difusos de los consumidores. En este último caso, la asociación de consumidores actúa como tercero legitimado sin gozar de las facultades para disponer derechos de los consumidores afectados, salvo de sus asociados o de las personas que le hayan otorgado poder para tal efecto. Tanto el consumidor constituido como parte como el tercero legitimado pueden participar en el procedimiento e interponer los recursos contra la resolución que deniegue el inicio del procedimiento y contra cualquier otra resolución impugnable que les produzca agravio.
[4] LEY 29733, LEY DE PROTECCIÓN DE DATOS PERSONALES
SÉTIMA.- Competencias del Indecopi
La Autoridad Nacional de Protección de Datos Personales es competente para salvaguardar los derechos de los titulares de la información administrada por las Centrales Privadas de Información de Riesgos (Cepirs) o similares conforme a los términos establecidos en la presente Ley.
Sin perjuicio de ello, en materia de infracción a los derechos de los consumidores en general mediante la prestación de los servicios e información brindados por las Cepirs o similares, en el marco de las relaciones de consumo, son aplicables las normas sobre protección al consumidor, siendo el ente competente de manera exclusiva y excluyente para la supervisión de su cumplimiento la Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la idoneidad de los bienes y servicios en función de la información brindada a los consumidores. (Subrayado agregado)