viernes, 30 de mayo de 2014

ABOGADOS, PRINCIPIOS, DERECHOS Y MISIONES DE LA AUTORIDAD NACIONAL EN LA LEY DE PROTECCION DE DATOS PERSONALES.




La multiplicación actual de dispositivos de trazabilidad en el espacio y en el tiempo, y la conexión permanente a Internet,  portan en  ellos riesgos potenciales a las libertades fundamentales y a la vida privada del individuo, rediseñando un nuevo rol del abogado, aparentemente análogo y  complementario a aquel  de la Autoridad Nacional de Protección de Datos Personales, ANPDP.

Todavía es prematuro para examinar algunas tendencias que las reuniones y encuentros nacionales y regionales a celebrarse entre la ANPDP y los Colegios de Abogados  aportarán en todo el territorio nacional sobre el tema. Sin embargo, pareciera que sus misiones sean similares: ambas instituciones deben asegurarse que todo ciudadano se encuentre en capacidad de conocer estas nuevas herramientas (inclusión), las amenazas de la conexión permanente y la defensa de sus derechos. De estos intercambios se engendrará la voluntad de elaborar lineamientos y guías concertadas en el marco de Convenios idóneos.

Estos acuerdos también deberán prever el desarrollo de cursos especializados en protección de datos personales en la profesión de abogado y en ambas estructuras representativas, incluyendo la creación de la especialidad de Corresponsal o Representante en Protección de Datos Personales.

Por supuesto, los  abogados, de un lado, y la Autoridad Nacional, del otro, conservarán en un primer momento, su plena independencia pero obrarán, uno al lado del otro, para asegurar, en última instancia, la protección de la vida privada. En un segundo momento deberán establecerse relaciones igualmente paritarias entre los archiveros y documentalistas, informáticos y telemáticos y la ANPDP. Es en el espíritu de ese primer momento que proponemos este artículo.

Este artículo se presente en dos partes, la primera parte, hoy, la segunda a fines de junio 2014:
      A.    Cinco principios fundamentales a respetar
      B.    Cinco misiones de la ANPDP

A. Cinco principios fundamentales a respetar

La Ley de Protección de Datos establece ocho Principios que deben observarse en la colecta, tratamiento y conservación de datos personales:
Artículo 4. Principio de legalidad
Artículo 5. Principio de consentimiento
Artículo 6. Principio de finalidad
Artículo 7. Principio de proporcionalidad
Artículo 8. Principio de calidad
Artículo 9. Principio de seguridad
Artículo 10. Principio de disposición de recurso
Artículo 11. Principio de nivel de protección adecuado

El Reglamento reconoce solo cuatro de ellos:
Artículo 7.- Principio de consentimiento.
Artículo 8.- Principio de finalidad.
Artículo 9.- Principio de calidad.
Artículo 10.- Principio de seguridad
.
La Resolución Directoral N° 019-2013-JUS/DGPDP reconoce los mismos ocho Principios previstos en la Ley, (Ver Anexo B).

Por nuestra parte, hemos seleccionado solo cinco Principios:
·         Principio de finalidad
·         Principio de proporcionalidad
·         Principio de calidad
·         Principios de seguridad y privacidad
·         Principio de respeto de los derechos de las personas,

No hemos tomado en cuenta el Principio de legalidad, porque este se encuentra implícito en la promulgación de la Ley, su Reglamento y la diferente normativa: base legal y  concordante con estos instrumentos.

El Principio de consentimiento se encuentra incluido en el Principio de respeto de los derechos de las personas. El Principio de disposición de recurso correspondería a la pluralidad de instancias prevista en la doctrina del derecho procesal, por lo que resulta irrelevante considerarla en la Ley y su Reglamento a menos de ser reiterativo, máxime si este Principio no le ha sido reconocido a la Autoridad Nacional de Protección de Datos Personales, ni otorgado jurisdicción administrativa en primera instancia, ni ser un organismo independiente de alguno de los Poderes del Estado.  

Finalmente, el Principio de nivel de protección adecuado reposa sobre la autorización de transferencia de datos personales de un Estado a un tercer país que garantice un nivel de protección adecuado; por el contrario, no se autorizará la transferencia a terceros países que no dispongan de tal nivel de protección, salvo excepciones. Este Principio, de acordársele tal  reconocimiento, relevaría más del Principio de seguridad y privacidad.


1. El Principio de finalidad: marco de uso de los archivos[1].

Los datos personales “deben ser recopilados (colectados y tratados) para una finalidad determinada, explícita y legítima[2]”, las mismas que corresponden a las misiones del abogado responsable del tratamiento. Como responsable del tratamiento de algún dato personal, los profesionales, incluyendo los abogados, “
además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional[3].

Así, a título ilustrativo, cuando algún profesional accede al servidor profesional de datos personales del RENIEC, este acto no deberá afectar la vida privada de la persona a la cual se refieren esas informaciones o utilizar los datos consultados para fines comerciales, políticos o electorales.

El Reglamento de la Ley 29733 precisa que: “la solicitud del consentimiento deberá estar referida a un tratamiento o serie de tratamientos determinados, con expresa identicación de la finalidad o finalidades para lasque se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos,…”, incluyendo la transferencia nacional o internacional de los datos[4]

“El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización[5].

Todo desvío de la finalidad  o “el uso los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación[6]”, u orden judicial o mandato legal expreso[7], es susceptible de multa, la misma que se determina: “en función a la Unidad Impositiva Tributaria vigente a la fecha en que se cometió la infracción y cuando no sea posible establecer tal fecha, la que estuviere vigente a la fecha en que la Dirección General de Protección de Datos Personales detectó la infracción”. Graduándose la sanción a imponerse, en función “al principio de razonabilidad de la potestad sancionadora reconocido en el numeral 3 del artículo 230 de la Ley Nº27444, Ley del Procedimiento Administrativo General, así como la condición de sancionado reincidente y la conducta procedimental del infractor”[8].
Incluyéndose la responsabilidad del tercero subcontratado, si éste:
1. Destina o utiliza los datos personales con una finalidad distinta a la autorizada por el titular del banco de datos o responsable del tratamiento; o
2. Efectúe una transferencia, incumpliendo las instrucciones del titular del banco de datos personales, aún cuando sea para la conservación de dichos datos[9]”.

“Cuando el tratamiento sea efectuado por organismos sin fines de lucro y cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos[10]

“El titular de datos personales tiene derecho a la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento, cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo establecido para su tratamiento[11]El Reglamento prevé que la cancelación o supresión podrá referirse a todos los datos personales del titular o solo a alguna parte de ellos.[12].

Se garantiza la publicidad sobre la existencia, finalidad, identidad y el domicilio de su titular, y de ser el caso, su encargado en la: “creación, modificación o cancelación de bancos de datos personales de administración pública y de administración privada se sujetan a lo que establezca el reglamento, salvo la existencia de disposiciones especiales contenidas en otras leyes[13]”. Como igualmente el registro y la consulta del Registro Nacional de Protección de Datos Personales por cualquier persona acerca dela existencia de bancos de datos personales, sus finalidades,…[14]; como de otros actos y documentos inscribibles en el Registro, según sanciona el Reglamento, incluyendo la emisión de una Resolución de inscripción del banco de datos, consignándose en ella: la descripción de la finalidad y usos previstos.[15]

2. Principio de proporcionalidad

“Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para que los que estos hubieran sido recopilados”[16]. Por ejemplo, no es necesario registrar informaciones sobre el entorno familiar de una persona cuando, en consideración a las finalidades de un tratamiento y a la naturaleza de cada caso particular tratado, sólo son necesarios elementos relativos a su vida profesional.

El Reglamento no analiza el Principio de proporcionalidad, sino solo cuatro de los principios expuestos en la Ley:

Artículo 7.- Principio de consentimiento.

Artículo 8.- Principio de finalidad.

Artículo 9.- Principio de calidad.

Artículo 10.- Principio de seguridad.


3. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.

Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento[17].

Según el Reglamento, los datos contenidos en un banco de datos personales, deben ajustarse con precisión a la realidad, presumiéndose que los datos directamente facilitados por el titular de los mismos son exactos[18]. No obstante, el Reglamento no desarrolla los conceptos de datos actualizados, necesarios, pertinentes y adecuados, respecto de la finalidad para la cual fueron recopilados. Inclusive este último concepto se reitera en el Principio de calidad y el Principio de proporcionalidad.

Tampoco alude al tiempo necesario para cumplir con la finalidad del tratamiento según la ley. Sin embargo, resulta evidente que los tiempos de conservación de informaciones contenidas en un banco de datos, no pueden ser indefinidos. La duración de conservación deberá ser determinada en función de la finalidad de cada archivo. Los registros de video protección, por ejemplo, no deben ser conservados, en principio, más de un mes. Las informaciones relativas a clientes, a su vez, no debe conservarse más de un año después de establecerse una relación contractual, según la ley francesa. El incumplimiento de la duración de conservación puede ser penada con cinco años de prisión y 300 000 € de multa[19]

Sin embargo, esta obligación de fijar una duración limitada de conservación no priva a los responsables de los tratamientos de la posibilidad de archivar informaciones, particularmente, para fines probatorios. Cuando este archivo se elabore de forma electrónica, deberán respetarse las Recomendaciones de la Autoridad Nacional de Protección de Datos Personales sobre el archivo electrónico de datos personales en el sector privado.

4. Principios de seguridad y privacidad

Según la Ley 29733, el titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate[20].

El Reglamento 003-2013-JUS, menciona solo la adopción de: las medidas de seguridad que resulten necesarias a fin de evitar cualquier tratamiento contrario a la Ley o al presente reglamento, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
La Resolución Directoral N° 019-2013-JUS/DGPDP de la Autoridad Nacional de Datos Personales que aprueba la Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales es mas especifica. Ella tiene por Base Legal: la Constitución Política del Perú, la Ley N° 29733, el D.S. N° 003-2013-JUS que aprueba el Reglamento de la Ley N° 29733, el D.S. N° 011-2012-JUS que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, la Resolución Ministerial N° 246-2007-PCM que aprueba la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas para la gestión de la seguridad de la información, 2ª Edición”, y la Resolución Ministerial N° 129-2012-PCM que aprueba el uso obligatorio de la norma técnica peruana “NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de Seguridad Sistemas de Gestión de Seguridad de la Información en todas las entidades integrantes del Sistema Nacional de Informática”.

El alcance de la Directiva es aplicable a los bancos de datos personales de administración pública o privada de acuerdo a lo establecido en la Ley N° 29733 y su reglamento. Su objetivo es garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en banco de datos personales, mediante medidas de seguridad que protejan los bancos de datos personales, de conformidad con la Ley 29733 y su reglamento.

La responsabilidad de las medidas de seguridad recae en el titular de los datos personales, en el titular del banco de datos personales y en  la Autoridad Nacional de Protección de Datos Personales.

Las medidas de seguridad establecen 1. Disposiciones Generales, agrupadas en cinco categorías en el tratamiento de los datos personales, que van del nivel básico, simple, intermedio, complejo hasta el crítico, identificados por un código de colores, justificándose éste por determinados criterios: volumen, número, tiempo, titularidad, consentimiento, multi-localización sensibilidad. Como también por las condiciones de seguridad, requisitos de seguridad e  información complementaria.

Las 2. Disposiciones Especificas, contemplan medidas de seguridad organizativas, jurídicas (legales en la Ley)  y técnicas, además del. 3. Procedimiento y 4. Disposiciones Complementarias. Seguidos de tres Anexos: A. Glosario, B. Orientación para Banco de Datos de tipo Básico y Simple y C. Orientación para Bancos de Datos de tipo Complejo y Critico. No existe Orientación específica para Bancos de Datos de tipo Intermedio.   

Según estas orientaciones, la responsabilidad de las medidas de seguridad recae en el titular de los datos personales, en el titular del banco de datos personales y en  la Autoridad Nacional de Protección de Datos Personales. Así, los datos contenidos, por ejemplo, en los expedientes de los abogados sólo pueden ser consultados por las personas autorizadas para acceder a ellos en razón de sus funciones. Los expedientes de los abogados no pueden ser comunicados sino a las personas autorizadas para su conocimiento en virtud de disposiciones legislativas específicas y bajo reserva del respeto del secreto profesional.

El abogado, como responsable de un tratamiento, es tributario de una obligación de seguridad. Por tanto, debe tomar todas las medidas necesarias para garantizar la confidencialidad e impedir toda divulgación de información. Es conveniente, por ejemplo, de velar a que cada persona autorizada a acceder a las informaciones disponga de una contraseña individual (compuesta al menos de 8 caracteres alfanuméricos y regularmente cambiado) y que los derechos de acceso hayan sido claramente definidos en función de necesidades reales.

5. Principio de respeto de los derechos de las personas

Esta marcado por el consentimiento o no de las personas para el tratamiento de sus datos personales[21], el mismo que debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que la Ley 29733 les confiere. Igual regla rige para su utilización por terceros[22]. Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser establecidas por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos[23]

Incluyendo medidas especiales a dictarse por Reglamento[24] para el tratamiento de datos personales de los niños y adolescentes[25]; pudiendo ser abiertos, incautados, interceptados o intervenidos  las comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos cuando sean de carácter privado, por mandamiento motivado del juez, o con autorización de su titular, con las garantías prevista en la ley, guardándose secreto de asuntos ajenos al hecho que motiva su examen[26].   

El tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta Ley les confiere. El artículo 13.5 de la Ley de Protección de Datos Personales[27] establece que las personas físicas concernidas por el tratamiento de datos personales, tienen derecho a ser previamente informadas de la identidad de su responsable (o de su representante), informado (de su finalidad, de su carácter obligatorio o facultativo de la colecta de datos, los destinatarios, las modalidades  del ejercicio de los derechos de acceso[28] y de rectificación[29], y  de ser el caso, la transferencia de datos fuera del ámbito nacional[30]

El consentimiento debe ser igualmente expreso, no tácito, e inequívoco. En el caso de datos personales sensibles, el consentimiento para su tratamiento, debe efectuarse por escrito, salvo cuando la ley lo autorice y atienda motivos importantes de interés público.[31]

El Reglamento adiciona: Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables[32]. Este artículo abre la posibilidad a la colecta, tratamiento y difusión de datos personales cuyo consentimiento ni orígenes pueden ser verificados, y al tráfico de estos. También dificulta las acciones de control de las Autoridades Nacionales de Protección de Datos Personales, si los proveedores de los mismos no domicilian en país o no se encuentran sujetos a jurisdicción nacional o supranacional en las cuales el Perú puede accionar. 




Los abogados, cuando ellos actúan en calidad de responsable de tratamiento, son libres de determinar los medios a aplicar para asegurar la información de las personas.

Toda persona tiene derecho de oponerse[33], por motivos legítimos, a que los datos que les  conciernen sean almacenados en un archivo informático, salvo si éste último presenta un carácter obligatorio. Igualmente, el titular de datos personales puede revocar su consentimiento en cualquier momento, observando al efecto los mismos requisitos que con ocasión de su otorgamiento[34]. El Reglamento incluye además el derecho al tratamiento objetivo[35],  el derecho a la tutela, en caso de denegación del ejercicio de derechos, ante la ANPDP, en vía de reclamación, o el Poder Judicial, mediante acción de habeas data[36], y el derecho a la indemnización, en caso de ser afectado a consecuencia del incumplimiento de la presente ley[37].

Las limitaciones a los derecho de los titulares de los datos personales pueden ser denegados por los titulares o encargados de los datos personales: “por razones fundadas en la protección de derechos e intereses de terceros o cuando ello pueda obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, a las investigaciones penales sobre la comisión de faltas o delitos, al desarrollo de funciones de control de la salud y del medio ambiente, a la verificación de infracciones administrativas, o cuando así lo disponga la ley[38].  

El tratamiento de de datos personales relativos a la comisión de infracciones penales o administrativas solo puede ser efectuado por las entidades públicas competentes, salvo convenio de encargo de gestión conforme a la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a ley[39].

Además, toda persona física que demuestre su identidad tiene derecho de preguntar al responsable de un tratamiento de datos personales para:

- saber si los datos que le conciernen, figuran o no;

- obtener la comunicación de datos que le conciernen bajo una forma comprensible, por un lado, y toda información disponible cuanto a sus orígenes, de otra parte;

- obtener informaciones sobre la finalidad del tratamiento, los datos colectados o recogidos y los destinatarios.

Sin embargo, el parágrafo 13.9 del Artículo 13. Alcances sobre el tratamiento de datos personales, deja abierta la posibilidad a la comercialización de datos personales, aun cuando éstas operaciones se encuentren sujetas a los principios previstos en la presente ley.

Segunda Parte, en junio: 
B. Las cinco misiones de la ANPDP


[1] Según la Ley de Protección de Datos Personales peruana y su Reglamento, los archivos se asimilan a las bases de datos, ficheros  y a todo otro conjunto organizado de datos.   
[2] Ley 29733, Artículo 6, Principio de finalidad. El Reglamento de la Ley 29733, D.S. 003-2013-JUS, solo desarrolla en su artículo 8 Principio de finalidad, el concepto de finalidad determinada, pero no aquellos de finalidad legítima ni finalidad explicita.
[3] D.S. 003-2013-JUS, Artículo 8.- Principio de finalidad.
[4] D.S. 003-2013-JUS, Artículo 11.- Disposiciones generales sobre el consentimiento para el tratamiento de datos personales.
[5] Ley 29733, Artículo 6, Principio de finalidad
[6] Ley 29733, Artículo 28. Obligaciones
[7] D.S. 003-2013-JUS, Artículo 31.- Tratamiento de datos personales en el sector comunicaciones y telecomunicaciones.
[8] D.S. 003-2013-JUS, Artículos 124 Determinación de la sanción administrativa de multa y 125 Graduación del monto de la sanción administrativa de multa
[9] D.S. 003-2013-JUS, Artículo 38.- Responsabilidad del tercero subcontratado.
[10] Ley 29733, Artículo 14. Parágrafo 7, Limitaciones al consentimiento para el tratamiento de datos personales
[11] Ley 29733, Artículo 20. Derecho de actualización, inclusión, rectificación y supresión
[12] D.S. 003-2013-JUS, Artículo 67.- Supresión o cancelación
[13] Ley 29733, Artículo 29. Creación, modificación o cancelación de bancos de datos personales
[14] Ley 29733, Artículo 34. Parágrafo 5, Registro Nacional de Protección de Datos Personales
[15] D.S. 003-2013-JUS, Artículo 76. - Inscripción registral,  77.- Actos y documentos inscribibles en el Registro, y 83.-  Resolución de Inscripción.
[16] Ley 29733, Artículo7, Principio de proporcionalidad
[17]Ley 29733, Artículo8, Principio de calidad
[18] D.S. 003-2013-JUS, Artículo 9, Principio de calidad.
[19] Article 226-20 Code Pénale
Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.
[20] Ley 29733, Artículo9, Principio de seguridad
[21] Ley 29733, Artículo8, Principio de consentimiento.
[22] Ley 29733, Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.1.
[23] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.2.
[24] D.S. 003-2013-JUS, Artículo 14 Limitaciones al consentimiento para el tratamiento de datos personales
[25] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.3.
[26] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.4.
[27] Ley 29733, Artículo 13. Alcances sobre el tratamiento de datos personales. 13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.
[28] D.S. 003-2013-JUS, Artículo 19. Derecho de acceso del titular de datos personales
[29] El D.S. 003-2013-JUS, Artículo 20, además del derecho de rectificación, incluye el derecho de actualización, inclusión, y supresión. Además prevé la figura del bloqueo.
[30] D.S. 003-2013-JUS, Artículo 15. Flujo transfronterizo de datos personales
[31] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.6.
[32]  D.S. 003-2013-JUS, Artículo 18. Derecho de información del titular de datos personales Segundo Parágrafo.
[33] D.S. 003-2013-JUS, Artículo 22 Derecho de oposición.
[34] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.7.
[35] D.S. 003-2013-JUS, Artículo 23 Derecho al tratamiento objetivo
[36] D.S. 003-2013-JUS, Artículo 24 Derecho a la tutela
[37] D.S. 003-2013-JUS, Artículo 25 Derecho a ser indemnizado
[38] D.S. 003-2013-JUS, Artículo 27 Limitaciones
[39] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.8.