La multiplicación
actual de dispositivos de trazabilidad en el espacio y en el tiempo, y la conexión permanente a Internet, portan en
ellos riesgos potenciales a las libertades fundamentales y a la vida
privada del individuo, rediseñando un nuevo rol del abogado, aparentemente análogo
y complementario a aquel de la Autoridad Nacional de Protección de
Datos Personales, ANPDP.
Todavía es prematuro
para examinar algunas tendencias que las reuniones y encuentros nacionales y
regionales a celebrarse entre la ANPDP y los Colegios de Abogados aportarán en todo el territorio nacional
sobre el tema. Sin embargo, pareciera que sus misiones sean similares: ambas instituciones
deben asegurarse que todo ciudadano se encuentre en capacidad de conocer estas nuevas
herramientas (inclusión), las amenazas de la conexión permanente y la defensa de
sus derechos. De estos intercambios se engendrará la voluntad de elaborar
lineamientos y guías concertadas en el marco de Convenios idóneos.
Estos acuerdos
también deberán prever el desarrollo de cursos especializados en protección
de datos personales en la profesión de abogado y en ambas estructuras representativas,
incluyendo la creación de la especialidad de Corresponsal o Representante en Protección
de Datos Personales.
Por supuesto,
los abogados, de un lado, y la Autoridad
Nacional, del otro, conservarán en un primer
momento, su plena independencia pero obrarán, uno al lado del otro, para
asegurar, en última instancia, la protección de la vida privada. En un segundo momento deberán establecerse
relaciones igualmente paritarias entre los archiveros y documentalistas, informáticos
y telemáticos y la ANPDP. Es en el espíritu de ese primer momento que
proponemos este artículo.
Este artículo se presente en dos partes, la primera
parte, hoy, la segunda a fines de junio 2014:
A.
Cinco principios fundamentales a respetar
B.
Cinco misiones de la ANPDP
A. Cinco principios fundamentales a respetar
La Ley de Protección de Datos establece ocho Principios que deben observarse en la colecta, tratamiento y conservación de datos personales:
Artículo
4. Principio de legalidad
Artículo
5. Principio de consentimiento
Artículo
6. Principio de finalidad
Artículo
7. Principio de proporcionalidad
Artículo
8. Principio de calidad
Artículo
9. Principio de seguridad
Artículo
10. Principio de disposición de recurso
Artículo
11. Principio de nivel de protección adecuado
El Reglamento reconoce solo cuatro
de ellos:
Artículo 7.- Principio de
consentimiento.
Artículo 8.- Principio de
finalidad.
Artículo 9.- Principio de
calidad.
Artículo 10.- Principio de
seguridad
.
La
Resolución Directoral N°
019-2013-JUS/DGPDP reconoce los mismos ocho
Principios previstos en la Ley, (Ver Anexo B).
Por nuestra parte, hemos
seleccionado solo cinco Principios:
·
Principio de finalidad
·
Principio de proporcionalidad
·
Principio de calidad
·
Principios de seguridad y
privacidad
·
Principio
de respeto de los derechos de las personas,
No
hemos tomado en cuenta el Principio de legalidad, porque este se encuentra implícito
en la promulgación de la Ley, su Reglamento y la diferente normativa: base
legal y concordante con estos
instrumentos.
El
Principio de consentimiento se encuentra incluido en el Principio de respeto de los derechos de las personas. El Principio de disposición de
recurso correspondería a la pluralidad de instancias prevista en la doctrina
del derecho procesal, por lo que resulta irrelevante considerarla en la Ley y
su Reglamento a menos de ser reiterativo, máxime si este Principio no le ha
sido reconocido a la Autoridad Nacional de Protección de Datos Personales, ni
otorgado jurisdicción administrativa en primera instancia, ni ser un organismo
independiente de alguno de los Poderes del Estado.
Finalmente, el Principio de nivel
de protección adecuado reposa sobre la
autorización de transferencia de datos personales de un Estado a un tercer país
que garantice un nivel de protección adecuado; por el contrario, no se
autorizará la transferencia a terceros países que no dispongan de tal nivel de
protección, salvo excepciones. Este Principio, de acordársele tal reconocimiento, relevaría más del Principio de
seguridad y privacidad.
1. El Principio
de finalidad: marco de uso de los archivos[1].
Los datos personales “deben ser recopilados (colectados y tratados) para una finalidad determinada, explícita y legítima[2]”, las mismas que corresponden a las misiones del abogado responsable del tratamiento. Como responsable del tratamiento de algún dato personal, los profesionales, incluyendo los abogados, “además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional[3]”.
Así, a
título ilustrativo, cuando algún profesional accede al servidor profesional de
datos personales del RENIEC, este acto no deberá afectar la vida privada de la
persona a la cual se refieren esas informaciones o utilizar los datos
consultados para fines comerciales, políticos o electorales.
El
Reglamento de la Ley 29733 precisa que: “la
solicitud del consentimiento deberá estar referida
a un tratamiento o serie de tratamientos determinados, con expresa identificación de la finalidad o finalidades para lasque se recaban los datos;
así como las demás condiciones que concurran en el tratamiento o tratamientos,…”, incluyendo la transferencia nacional o
internacional de los datos[4]
“El tratamiento de los
datos personales no debe extenderse a otra finalidad que no haya sido la
establecida de manera inequívoca como tal al momento de su recopilación, excluyendo
los casos de actividades de valor histórico, estadístico o científico cuando se
utilice un procedimiento de disociación o anonimización[5]”.
Todo desvío de la
finalidad o “el uso los datos personales objeto
de tratamiento para finalidades distintas de aquellas que motivaron su
recopilación, salvo que medie procedimiento de anonimización o disociación[6]”,
u orden judicial o mandato legal expreso[7], es susceptible de multa, la misma que se determina:
“en función a la Unidad Impositiva
Tributaria vigente a la fecha en que se cometió la infracción y cuando no sea
posible establecer tal fecha, la que estuviere vigente a la fecha en que la
Dirección General de Protección de Datos Personales detectó la infracción”. Graduándose la sanción a imponerse, en función “al principio de razonabilidad de la potestad
sancionadora reconocido en el numeral 3 del artículo 230 de la Ley Nº27444, Ley
del Procedimiento Administrativo General, así como la condición de sancionado
reincidente y la conducta procedimental del infractor”[8].
Incluyéndose la
responsabilidad del tercero subcontratado, si éste:
“1. Destina o
utiliza los datos personales con una finalidad distinta a la autorizada por el titular del banco
de datos o responsable del tratamiento; o
2. Efectúe
una transferencia, incumpliendo las instrucciones del titular del banco de
datos personales, aún cuando sea para la conservación de dichos datos[9]”.
“Cuando el tratamiento sea efectuado por organismos
sin fines de lucro y cuya finalidad sea política, religiosa o sindical y se refiera a los datos
personales recopilados de sus respectivos miembros, los que deben guardar
relación con el propósito a que se circunscriben sus actividades, no
pudiendo ser transferidos sin consentimiento de aquellos[10]”
“El
titular de datos personales tiene derecho a la actualización, inclusión,
rectificación y supresión de sus datos personales materia de tratamiento,
cuando estos sean parcial o totalmente inexactos, incompletos, cuando se
hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser
necesarios o pertinentes a la finalidad para la cual hayan sido recopilados
o cuando hubiera vencido el plazo establecido para su tratamiento[11]” El Reglamento prevé que la cancelación o supresión podrá
referirse a todos los datos personales del titular o solo a alguna parte de
ellos.[12].
Se garantiza la publicidad sobre la existencia,
finalidad, identidad y el domicilio de su titular, y de ser el caso, su
encargado en la: “creación, modificación o cancelación
de bancos de datos personales de administración pública y de administración
privada se sujetan a lo que establezca el reglamento, salvo la existencia de
disposiciones especiales contenidas en otras leyes[13]”.
Como
igualmente el registro y la consulta del Registro Nacional de Protección de
Datos Personales por cualquier persona acerca de “la existencia de bancos de datos personales, sus finalidades,…[14]”; como de otros actos y documentos inscribibles
en el Registro, según sanciona el Reglamento, incluyendo la emisión de una Resolución
de inscripción del banco de datos, consignándose en ella: la descripción de la finalidad y usos previstos.[15]
2. Principio de proporcionalidad
“Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para que los que estos hubieran sido recopilados”[16]. Por ejemplo, no es necesario registrar informaciones sobre el entorno familiar de una persona cuando, en consideración a las finalidades de un tratamiento y a la naturaleza de cada caso particular tratado, sólo son necesarios elementos relativos a su vida profesional.
El Reglamento no analiza el Principio
de proporcionalidad, sino solo cuatro de los principios expuestos en la Ley:
Artículo 7.- Principio de
consentimiento.
Artículo 8.- Principio de finalidad.
Artículo 9.- Principio de calidad.
Artículo 10.- Principio de seguridad.
3. Principio de calidad
Los datos personales que vayan a ser tratados deben
ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios,
pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.
Deben conservarse de forma tal
que se garantice su seguridad y solo por el tiempo necesario para cumplir con
la finalidad del tratamiento[17].
Según el
Reglamento, los datos contenidos en un
banco de datos personales, deben ajustarse con precisión a la realidad,
presumiéndose que los datos directamente facilitados por el titular de los
mismos son exactos[18].
No obstante, el Reglamento no desarrolla los conceptos de datos actualizados,
necesarios, pertinentes y adecuados, respecto de la finalidad para la cual
fueron recopilados. Inclusive este último concepto se reitera en el Principio
de calidad y el Principio de proporcionalidad.
Tampoco
alude al tiempo necesario para cumplir con la finalidad del tratamiento según
la ley. Sin embargo, resulta
evidente que los tiempos de conservación de informaciones contenidas en un banco
de datos, no pueden ser indefinidos. La duración de conservación deberá ser
determinada en función de la finalidad de cada archivo. Los registros de video
protección, por ejemplo, no deben ser conservados, en principio, más de un mes.
Las informaciones relativas a clientes, a su vez, no debe conservarse más de un
año después de establecerse una relación contractual, según la ley francesa. El
incumplimiento de la duración de conservación puede ser penada con cinco años
de prisión y 300 000 € de multa[19]
Sin
embargo, esta obligación de fijar una duración limitada de conservación no
priva a los responsables de los tratamientos de la posibilidad de archivar
informaciones, particularmente, para fines probatorios. Cuando este archivo se elabore
de forma electrónica, deberán respetarse las Recomendaciones de la Autoridad
Nacional de Protección de Datos Personales sobre el archivo electrónico de
datos personales en el sector privado.
4. Principios de seguridad y privacidad
Según la Ley
29733, el titular del banco de datos
personales y el encargado de su tratamiento deben adoptar las medidas técnicas,
organizativas y legales necesarias para garantizar la seguridad de los datos
personales. Las medidas de seguridad deben ser apropiadas y acordes con el
tratamiento que se vaya a efectuar y con la categoría de datos personales de
que se trate[20].
El Reglamento
003-2013-JUS, menciona solo la adopción de: las
medidas de seguridad que resulten necesarias a fin de evitar cualquier
tratamiento contrario a la Ley o al presente reglamento, incluyéndose en ellos
a la adulteración, la pérdida, las desviaciones de información, intencionales o
no, ya sea que los riesgos provengan de la acción humana o del medio técnico
utilizado.
La Resolución
Directoral N° 019-2013-JUS/DGPDP de la Autoridad Nacional de Datos
Personales que aprueba la Directiva de Seguridad de la Información Administrada
por los Bancos de Datos Personales es mas especifica. Ella tiene por Base Legal: la Constitución Política
del Perú, la Ley N° 29733, el D.S. N° 003-2013-JUS que aprueba el Reglamento de
la Ley N° 29733, el D.S. N° 011-2012-JUS que aprueba el Reglamento de
Organización y Funciones del Ministerio de Justicia y Derechos Humanos, la Resolución
Ministerial N° 246-2007-PCM que aprueba la Norma Técnica Peruana “NTP ISO/IEC
17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas para la gestión
de la seguridad de la información, 2ª Edición”, y la Resolución Ministerial N°
129-2012-PCM que aprueba el uso obligatorio de la norma técnica peruana
“NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de
Seguridad Sistemas de Gestión de Seguridad de la Información en todas las
entidades integrantes del Sistema Nacional de Informática”.
El alcance
de la Directiva es aplicable a los bancos de datos personales de administración
pública o privada de acuerdo a lo establecido en la Ley N° 29733 y su
reglamento. Su objetivo es
garantizar la seguridad de los datos personales contenidos o destinados a ser
contenidos en banco de datos personales, mediante medidas de seguridad que
protejan los bancos de datos personales, de conformidad con la Ley 29733 y su
reglamento.
La responsabilidad
de las medidas de seguridad recae en el titular de los datos personales, en el
titular del banco de datos personales y en
la Autoridad Nacional de Protección de Datos Personales.
Las medidas de
seguridad establecen 1. Disposiciones
Generales, agrupadas en cinco categorías en el tratamiento de los
datos personales, que van del nivel básico, simple, intermedio, complejo hasta
el crítico, identificados por un código de colores, justificándose éste por
determinados criterios: volumen, número, tiempo, titularidad,
consentimiento, multi-localización sensibilidad. Como también por las condiciones
de seguridad, requisitos de seguridad e información
complementaria.
Las 2. Disposiciones
Especificas, contemplan medidas de seguridad organizativas, jurídicas
(legales en la Ley) y técnicas, además
del. 3. Procedimiento y 4. Disposiciones Complementarias.
Seguidos de tres Anexos: A. Glosario, B. Orientación para Banco de Datos de
tipo Básico y Simple y C. Orientación para Bancos de Datos de tipo Complejo y
Critico. No existe Orientación específica para Bancos de Datos de tipo
Intermedio.
Según estas orientaciones, la responsabilidad de las medidas de seguridad
recae en el titular de los datos personales, en el titular del banco de datos
personales y en la Autoridad Nacional de
Protección de Datos Personales. Así, los datos contenidos,
por ejemplo, en los expedientes de los abogados sólo pueden ser consultados por
las personas autorizadas para acceder a ellos en razón de sus funciones. Los
expedientes de los abogados no
pueden ser comunicados sino a las personas autorizadas para su conocimiento en
virtud de disposiciones legislativas específicas y bajo reserva del respeto del
secreto profesional.
El abogado, como responsable de un tratamiento, es tributario de una obligación de seguridad. Por tanto, debe tomar todas las medidas necesarias para garantizar la confidencialidad e impedir toda divulgación de información. Es conveniente, por ejemplo, de velar a que cada persona autorizada a acceder a las informaciones disponga de una contraseña individual (compuesta al menos de 8 caracteres alfanuméricos y regularmente cambiado) y que los derechos de acceso hayan sido claramente definidos en función de necesidades reales.
5. Principio de respeto de los derechos de las personas
Esta marcado por el consentimiento o no de las
personas para el tratamiento de sus datos personales[21], el
mismo que debe realizarse con pleno respeto de los derechos fundamentales de
sus titulares y de los derechos que la Ley 29733 les confiere. Igual regla rige
para su utilización por terceros[22]. Las limitaciones al ejercicio del derecho
fundamental a la protección de datos personales solo pueden ser establecidas
por ley, respetando su contenido esencial y estar justificadas en razón del
respeto de otros derechos fundamentales o bienes constitucionalmente protegidos[23].
Incluyendo
medidas especiales a dictarse por Reglamento[24] para el
tratamiento de datos personales de los niños y adolescentes[25]; pudiendo ser abiertos, incautados,
interceptados o intervenidos las
comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos cuando
sean de carácter privado, por mandamiento motivado del juez, o con autorización
de su titular, con las garantías prevista en la ley, guardándose secreto de
asuntos ajenos al hecho que motiva su examen[26].
El tratamiento de datos personales debe
realizarse con pleno respeto de los derechos fundamentales de sus titulares y
de los derechos que esta Ley les confiere. El artículo 13.5 de la Ley de Protección de Datos Personales[27]
establece que las personas físicas concernidas por el tratamiento de datos
personales, tienen derecho a ser previamente informadas de la identidad de su
responsable (o de su representante), informado (de su finalidad, de su carácter
obligatorio o facultativo de la colecta de datos, los destinatarios, las
modalidades del ejercicio de los
derechos de acceso[28] y
de rectificación[29],
y de ser el caso, la transferencia de
datos fuera del ámbito nacional[30].
El consentimiento debe ser igualmente expreso, no tácito, e inequívoco. En el
caso de datos personales sensibles, el consentimiento para su tratamiento, debe
efectuarse por escrito, salvo cuando la ley lo autorice y atienda motivos importantes
de interés público.[31]
El Reglamento adiciona: Si los datos personales son recogidos en línea a
través de redes de comunicaciones electrónicas, las obligaciones del presente
artículo pueden satisfacerse mediante la publicación de políticas de
privacidad, las que deben ser fácilmente accesibles e identificables[32]. Este artículo
abre la posibilidad a la colecta, tratamiento y difusión de datos personales
cuyo consentimiento ni orígenes pueden ser verificados, y al tráfico de estos.
También dificulta las acciones de control de las Autoridades Nacionales de Protección
de Datos Personales, si los proveedores de los mismos no domicilian en país o
no se encuentran sujetos a jurisdicción nacional o supranacional en las cuales
el Perú puede accionar.
Los abogados, cuando ellos
actúan en calidad de responsable de tratamiento, son libres de determinar los
medios a aplicar para asegurar la información de las personas.
Toda persona tiene derecho de
oponerse[33],
por motivos legítimos, a que los datos que les
conciernen sean almacenados en un archivo informático, salvo si éste último presenta un carácter obligatorio. Igualmente, el titular de datos personales
puede revocar su consentimiento en cualquier momento, observando al efecto los
mismos requisitos que con ocasión de su otorgamiento[34]. El
Reglamento incluye además el derecho al tratamiento objetivo[35], el derecho a la tutela, en caso de denegación
del ejercicio de derechos, ante la ANPDP, en vía de reclamación, o el Poder
Judicial, mediante acción de habeas data[36], y el derecho
a la indemnización, en caso de ser afectado a consecuencia del incumplimiento
de la presente ley[37].
Las limitaciones a los derecho de los titulares de los
datos personales pueden ser denegados por los titulares o encargados de los
datos personales: “por razones
fundadas en la protección de derechos e intereses de terceros o cuando ello
pueda obstaculizar actuaciones judiciales o administrativas en curso vinculadas
a la investigación sobre el cumplimiento de obligaciones tributarias o
previsionales, a las investigaciones penales sobre la comisión de faltas o
delitos, al desarrollo de funciones de control de la salud y del medio
ambiente, a la verificación de infracciones administrativas, o cuando así lo
disponga la ley[38]”.
El tratamiento de de datos
personales relativos a la comisión de infracciones penales o administrativas
solo puede ser efectuado por las entidades públicas competentes, salvo convenio
de encargo de gestión conforme a la Ley 27444, Ley del Procedimiento
Administrativo General, o la que haga sus veces. Cuando se haya producido la
cancelación de los antecedentes penales, judiciales, policiales y
administrativos, estos datos no pueden ser suministrados salvo que sean
requeridos por el Poder Judicial o el Ministerio Público, conforme a ley[39].
Además, toda persona física
que demuestre su identidad tiene derecho de preguntar al responsable de un
tratamiento de datos personales para:
- saber si los datos que le conciernen, figuran o no;
- obtener la comunicación de datos que le conciernen bajo una forma comprensible, por un lado, y toda información disponible cuanto a sus orígenes, de otra parte;
- obtener informaciones sobre la finalidad del tratamiento, los datos colectados o recogidos y los destinatarios.
Sin embargo, el parágrafo 13.9
del Artículo 13. Alcances sobre el tratamiento de datos personales, deja
abierta la posibilidad a la comercialización de datos personales, aun cuando
éstas operaciones se encuentren sujetas a los principios previstos en la
presente ley.
Segunda Parte, en junio:
B. Las cinco misiones de la ANPDP
[1] Según la Ley de Protección
de Datos Personales peruana y su Reglamento, los archivos se asimilan a las
bases de datos, ficheros y a todo otro
conjunto organizado de datos.
[2] Ley 29733, Artículo
6, Principio de finalidad. El Reglamento de la Ley 29733, D.S. 003-2013-JUS,
solo desarrolla en su artículo 8 Principio de finalidad, el concepto de
finalidad determinada, pero no aquellos de finalidad legítima ni finalidad
explicita.
[4] D.S. 003-2013-JUS,
Artículo 11.-
Disposiciones generales sobre el consentimiento para el tratamiento de datos
personales.
[7]
D.S.
003-2013-JUS, Artículo 31.-
Tratamiento de datos personales en el sector comunicaciones y
telecomunicaciones.
[8] D.S.
003-2013-JUS, Artículos
124 Determinación de la sanción administrativa de multa y 125 Graduación del
monto de la sanción administrativa de multa
[10] Ley 29733, Artículo
14. Parágrafo 7, Limitaciones al consentimiento para el tratamiento de datos
personales
[15] D.S.
003-2013-JUS, Artículo
76. - Inscripción registral, 77.- Actos
y documentos inscribibles en el Registro, y 83.- Resolución de Inscripción.
Le fait de conserver des données à caractère
personnel au-delà de la durée prévue par la loi ou le règlement, par la demande
d'autorisation ou d'avis, ou par la déclaration préalable adressée à la
Commission nationale de l'informatique et des libertés, est puni de cinq ans
d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est
effectuée à des fins historiques, statistiques ou scientifiques dans les
conditions prévues par la loi.
Est puni des mêmes peines le fait, hors les cas
prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou
scientifiques des données à caractère personnel conservées au-delà de la durée
mentionnée au premier alinéa.
[22] Ley 29733, Artículo
13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.1.
[23] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.2.
[24] D.S.
003-2013-JUS, Artículo
14 Limitaciones al consentimiento para el tratamiento de datos personales
[25] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.3.
[26] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.4.
[27] Ley 29733, Artículo
13. Alcances sobre el tratamiento de datos
personales. 13.5 Los datos
personales solo pueden ser objeto de tratamiento con consentimiento de su
titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo,
informado, expreso e inequívoco.
[29] El D.S.
003-2013-JUS, Artículo
20, además del derecho de rectificación, incluye el derecho de actualización, inclusión,
y supresión. Además prevé la figura del bloqueo.
[31] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.6.
[32] D.S. 003-2013-JUS, Artículo 18. Derecho de
información del titular de datos personales Segundo
Parágrafo.
[33] D.S.
003-2013-JUS, Artículo 22 Derecho de oposición.
[34] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.7.
[35] D.S.
003-2013-JUS, Artículo 23 Derecho al tratamiento objetivo
[36] D.S.
003-2013-JUS, Artículo 24 Derecho a la tutela
[37] D.S.
003-2013-JUS, Artículo 25 Derecho a ser indemnizado
[38] D.S.
003-2013-JUS, Artículo 27 Limitaciones
[39] Artículo 13.
Alcances sobre el tratamiento de datos personales. Parágrafo 13.8.
No hay comentarios:
Publicar un comentario