1.
Texto
La aprobación de la Ley N° 30076 en el Perú, modifica el Código Penal, Código Procesal Penal, Código de Ejecución Penal y el Código de los Niños y Adolescentes y crea Registros y Protocolos con la finalidad de combatir la inseguridad ciudadana, según el titulo del Diario Oficial “El Peruano”.
Entre las modificaciones al Código Penal peruano, se
destaca, el artículo 207-D, mediante el cual se tipifica el tráfico ilegal de
datos:
Artículo 207-D. Tráfico ilegal de datos
El que, crea, ingresa o utiliza indebidamente una base de datos sobre
una persona natural o jurídica, identificada o identificable, para
comercializar, traficar, vender, promover, favorecer o facilitar información
relativa a cualquier ámbito de la esfera personal, familiar, patrimonial,
laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será
reprimido con pena privativa de libertad no menor de tres ni mayor de cinco
años.
2.
Antecedentes y Comentarios
Según el Congresista Jaime Delgado,
autor de la iniciativa, “con esta ley el tráfico ilícito de bases de datos y
datos personales se convierte en un delito especial. Por tanto, aquellos que
utilicen sin consentimiento del titular información relativa a cualquier ámbito
de la esfera personal, familiar, patrimonial, laboral, financiera,… para
traficar con ella, podrá ir preso hasta por cinco años”. [1]
El Articulo 4 de la Ley N° 29733,
destaca el Principio de Legalidad, por el cual:
El tratamiento de los datos
personales se hace conforme a lo establecido en la ley. Se prohíbe la
recopilación de los datos personales por medios fraudulentos, desleales o
ilícitos.
El Titulo II, Tratamiento de los
datos personales, en su artículo 13. Alcances sobre el tratamiento de datos,
numeral 13.1, precisa que éste:
Debe realizarse con pleno respeto de
los derechos fundamentales de sus titulares y de los derechos que esta ley les
confiere. Igual regla rige para su utilización por terceros.
El Titulo VII Infracciones y Sanciones Administrativas, en su artículo 38° Infracciones, se refiere tanto a la definición como al tipo de infracción.
Artículo 38. Infracciones
Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento.
Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento.
Las infracciones se califican como
leves, graves y muy graves.
1. Son infracciones leves:
1. Son infracciones leves:
a. Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.
b. No atender, impedir u
obstaculizar el ejercicio de los derechos del titular de datos personales
reconocidos en el título III, cuando legalmente proceda.
c. Obstruir el ejercicio de la
función fiscalizadora de la Autoridad Nacional de Protección de Datos
Personales.
2. Son infracciones graves:
a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento.
b. Incumplir la obligación de
confidencialidad establecida en el artículo 17.
c. No atender, impedir u
obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de
datos personales reconocidos en el título III, cuando legalmente proceda.
d. Obstruir, en forma sistemática,
el ejercicio de la función fiscalizadora de la Autoridad Nacional de Protección
de Datos Personales.
e. No inscribir el banco de datos
personales en el Registro Nacional de Protección de Datos Personales.
3. Son infracciones muy graves:
3. Son infracciones muy graves:
a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
b. Crear, modificar, cancelar o
mantener bancos de datos personales sin cumplir con lo establecido por la
presente Ley o su reglamento.
c. Suministrar documentos o
información falsa o incompleta a la Autoridad Nacional de Protección de Datos
Personales.
d. No cesar en el tratamiento
ilícito de datos personales, cuando existiese un previo requerimiento de la
Autoridad Nacional de Protección de Datos Personales para ello.
e. No inscribir el banco de datos
personales en el Registro Nacional de Protección de Datos Personales, no
obstante haber sido requerido para ello por la Autoridad Nacional de Protección
de Datos Personales.
La calificación, la graduación del monto de las multas, el procedimiento para su aplicación y otras tipificaciones se efectúan en el reglamento de la presente Ley.
Sin duda va
encaminada a reforzar la seguridad de los ciudadanos con respecto a su
información, complementando las sanciones administrativas contempladas en la
legislación peruana en protección de datos, junto con penas privativas de
libertad de entre tres y cinco años. Una correcta protección de la intimidad,
el honor y la privacidad de las personas, debe completarse con medidas penales,
que persigan nuevos tipos delictivos y que se adapten a los nuevos tiempos,
nuevos tipos de delincuencia y de conductas delictivas, y a las nuevas
tecnologías, este esfuerzo del legislador peruano, debe completarse con una
acción global de todos los países, en los tiempos actuales, los flujos de
datos, el auge de Internet y las transferencias internacionales de datos, así
como tratamientos transfronterizos, requieren una respuesta conjunta en aras
una defensa común de los derechos de las personas.
3. Análisis
En
una pequeña medida
el objetivo de la inclusión del artículo 207-D en el Código Penal responde a
imperativos de reforzamiento de seguridad de los ciudadanos (¿?) y complemento de sanciones administrativas con
sanciones penales, como lo señala el Dr. López Carballo, del Observatorio
Iberoamericano de Datos Personales. Incluyendo una correcta protección de los
delitos de privacidad y honor, a nuevos
tipos de delitos, de delincuencia, de tecnologías; debiéndose completar la acción
peruana con una acción global de todos los países, como respuesta conjunta en
aras a una defensa común de los derechos de las personas.
En
una gran medida,
la inclusión del artículo
207-D
en el Código Penal, plantea otros aspectos:
En primer lugar, un problema lingüístico.
Es necesaria una definición normalizada que permita precisar los conceptos de
“dato”, “bases de datos”, “tratamiento” e “información”; y si estos son
ambivalentes desde la perspectiva de la técnica informática, cómputo y sistemas
y las ciencias jurídicas y el derecho.
La
ausencia de normalización impide acreditar, si los antiguos conceptos emitidos
por el ex INEI, los actuales del ONGEI, o aquellos contenidos en las leyes de
Transparencia y Acceso a la Información Publica, Código de Comercio, Código del
Consumidor, Decretos Legislativos N° 822 y 823, sobre Propiedad Intelectual o
los referidos a las normas de Protección de los Datos Personales y sus normas
conexas y complementarias son
equivalentes? Solo así podremos precisar si aquellas personas que crean,
interfieren o utilizan las bases de datos personal, familiar, patrimonial,
laboral, financiera u otro de naturaleza análoga, creando o no perjuicio,
pueden ser sancionados.
El
artículo,
sin embargo, no toma en cuenta, aquellos autores - personas físicas o
jurídicas - que crean programas informáticos, operados por robots,
capaces de
crear, organizar bases de datos; planteando el tema de la competencia y
jurisdicción de la administración de justicia, en los casos de
nacionalidad
extranjera, domicilio de los autores y/o de los materiales y equipos
utilizados
para tales fines.
Tampoco
la norma hace referencia si solo comprende a las bases de datos
automatizadas, o también a las bases de
datos en otros tipos de soporte.
En segundo lugar, el concepto
jurídico de ciudadano. La expresión de reforzar la seguridad de los ciudadanos con respecto a su información, formulada por el Dr. López Carballo en su obra citada
precedentemente, propone una interesante abstracción sobre si podemos
considerar a las personas jurídicas como ciudadanos. Es que el término «ciudadano» solo
seria otorgable a la persona natural o física por el hecho de haber nacido en
una ciudad, ser miembro de una comunidad organizada que le reconoce esa
cualidad como titular de deberes y derechos propios a su ciudadanía, quedando
obligado, como ciudadano, a hacer que ellos se cumplan? A menos que ciudadano
sea también la persona jurídica, quien reside en una parte del territorio, que
dispone de sus propios datos personales, no de la institución que administra y/o representa, sino como persona
natural, y en tanto tal, debieran ser
igualmente protegidos sus datos de todo tráfico? O finalmente, que los datos
colectados y tratados pertenezcan tanto a los ciudadanos persona natural como jurídico.
En
ninguno de los casos, el artículo 207-D hace mención a si la patrimonialización
de los datos obtenidos mediante el tráfico constituye un agravante,
enriqueciendo al autor o autores. La sola referencia es que el perjuicio o no a
la víctima, es indiferente.
En tercer lugar, las
infracciones previstas.
1.
La
Ley N° 29733 en su artículo 38, referido a las infracciones, establece que
constituye infracción sancionable toda acción u
omisión que contravenga los principios o incumpla alguna de las disposiciones
contenidas en esta Ley o en su reglamento; mientras que el Artículo 207-D.
tráfico ilegal de datos, solo sanciona la acción. Ello resulta de la posición
adoptada por el legislador: el tráfico de datos es percibido desde la
perspectiva de una amenaza o violación externa y no interna, es decir, no de
aquellas personas que se ocupan del tratamiento de los bancos de datos, y a las
cuales se refiere el Titulo II. Tratamiento de los datos personales, particularmente los artículos 16.
Seguridad y 17. Confidencialidad.
2.
También
en su artículo 38, la Ley N° 29733, considera que existen infracciones graves y
muy graves, que contravienen algunos de sus principios (Arts. 4 al 12), como
otras disposiciones
contenidas en esta Ley o en su reglamento. Si ello es así, las infracciones graves
como muy graves, adaptables al tráfico, merecieran ser sancionadas penalmente.
1.
Ni
el articulo 207-D, ni ninguno de los tipos de infracciones de la Ley 29733
contempla que pueden ser objeto de tráfico: los datos no actualizados, no
suprimidos, no anonimizados, que han sido objeto de rectificación, oposición de
la parte de sus titulares, o que los titulares de las bases de datos no han
procedido o practicado para su tratamiento las medidas de seguridad señaladas
por ley.
2.
Fuera
de los casos previstos por la ley, el hecho de incluir o conservar en memoria
informatizada, sin consentimiento expreso del interesado, datos de carácter
personal que, directa o indirectamente, muestren los orígenes raciales o étnicos
o las opiniones políticas, filosóficas o religiosas o la afiliación sindical de
las personas, o relativos a la salud o a la orientación sexual.
3.
En
caso de tratamiento de datos de carácter personal con fines de investigación en
el ámbito de la salud, el hecho de proceder a un tratamiento:
1º Sin haber informado previamente y de
manera individualizada a las personas de quien se recogen o transmiten los
datos de carácter personal, de su derecho de acceso, rectificación y oposición,
del tipo de datos transmitidos y de los destinatarios de éstos;
2º A pesar de la oposición de la persona
afectada o, cuando esté legalmente previsto, en ausencia de consentimiento
informado y expreso de la persona, o si se trata de una persona fallecida, a
pesar de la negativa expresa de ésta en vida.
4.
El
hecho de proceder al examen de las características genéticas de una persona con
fines ajenos a los médicos o de investigación científica, o con fines médicos o
de investigación científica, sin haber obtenido previamente su consentimiento
en las condiciones previstas por el código civil y las leyes en la materia.
5.
El
hecho de conservar datos de carácter personal más allá de la duración prevista
por la ley o el reglamento, en la solicitud de informe o en la declaración
dirigida a la Autoridad Nacional de Protección de Datos Personales, salvo si
esta conservación se efectúa con fines históricos, estadísticos o científicos
en las condiciones previstas por la ley.
6.
La
tentativa de las infracciones previstas en el Artículo 207-D para la acción u omisión
será sancionada con las mismas penas.
7.
Las
personas físicas culpables de alguna de las infracciones previstas en el
presente capítulo incurrirán igualmente, en las penas accesorias siguientes:
1º La prohibición del ejercicio de
derechos cívicos, civiles y de familia;
2º La prohibición temporal de ejercer la
actividad profesional o social en cuyo ejercicio o con ocasión de la cual se
haya cometido la infracción;
3º La prohibición de tenencia o de
porte, por un periodo de hasta cinco años, de un arma sujeta a autorización;
4º La publicación o la difusión de la
resolución adoptada, en las condiciones previstas por ley;
5º El decomiso de los materiales,
equipos que hayan servido para la comisión del delito.
8. El
hecho, cometido por toda persona que se encuentre en posesión de datos de
carácter personal con ocasión de su registro, clasificación, transmisión o de
cualquier otra forma de tratamiento, de desviar dichas informaciones de su
finalidad definida por disposición legal o por decisión de la Autoridad
Nacional de Protección de Datos Personales que autorice el tratamiento
automatizado, o por las declaraciones previas a la aplicación de este
tratamiento.
9. El
hecho, cometido por toda persona que, con ocasión de su registro,
clasificación, transmisión o cualquier otra forma de tratamiento, haya recogido
datos de carácter personal cuya divulgación tuviera por efecto atentar contra
la reputación del interesado o su privacidad, de poner estas informaciones, sin
autorización del interesado, en conocimiento de un tercero no autorizado para
recibirlas.
10. El
hecho de proceder o hacer proceder a una transferencia de datos de carácter
personal objeto, o destinados a ser objeto de tratamiento, hacia un Estado
tercero, con infracción de las medidas adoptadas por la Autoridad Nacional de Protección
de Datos Personales.
11. Las
disposiciones de los artículos precedentes serán aplicables a los tratamientos
no automatizados de datos de carácter personal cuya aplicación no se limite al
ejercicio de actividades exclusivamente personales.
12. Las
personas jurídicas podrán ser declaradas penalmente responsables de las
infracciones definidas en los artículos precedentes, en las condiciones
previstas por el Código Penal.
4. Colofón
4.1. El articulo 207-D
· El
articulo 207-D, del Capitulo X Delitos Informáticos,
del Título V Delitos Contra el Patrimonio, del Libro Segundo del Código Penal es
uno de los cuatros artículos referidos a los llamados delitos informáticos.
Concierne específicamente el tráfico ilegal de datos.
· El Tráfico
Ilegal de Datos se refiere los datos contenidos en una base de datos
· Se desconoce si
las bases de datos son automatizadas o no.
· Los datos
conciernen los datos sobre una persona natural o jurídica, identificada o
identificable
· El autor es la
persona que crea, ingresa o utiliza indebidamente una base de datos
· No es relevante
si el ingreso crea o no perjuicio, ni el artículo establece la naturaleza del
mismo.
· El fin de la
creación, interferencia o uso es el comercio, la venta, la promoción, el
tráfico, el favorecimiento, o la facilitación de la información.
· La información
puede ser personal, familiar, patrimonial, laboral, financiera, u otra análoga.
· La sanción es
pena privativa de libertad no menor de tres ni mayor de cinco anos.
4.2.Antecedentes y
Comentarios
Los del
Congresista Jaime
Delgado y del Dr. Daniel A. López Carballo, en su “El
tráfico ilegal de datos en el Código Penal peruano”.
4.3.Análisis
· El articulo
207-D contribuye a reforzar la seguridad y complementa sanciones
administrativas.
· Plantea otros
aspectos: lingüísticos, conceptuales, de infracciones previstas y no previstas.
Entre las infracciones no
previstas se sugieren algunas reguladas en la ley francesa de Informática y
Libertades de 1978; evaluar su adaptación, inclusión, en el Reglamento de la
ley, o bajo la forma de Lineamientos para su aplicación.
[1]
Daniel A.
López Carballo “El tráfico ilegal de datos en
el Código Penal peruano”. http://oiprodat.com/2013/08/22/el-trafico-ilegal-de-datos-en-el-codigo-penal-peruano/
[2] Op. Cit.
Ut Supra.
[3] Algunas de las
infracciones no previstas han sido adaptadas de la ley francesa de Informática
y Libertades de 1978.
No hay comentarios:
Publicar un comentario