(SEGUNDA PARTE)
B.1. PERU
La Autoridad Nacional de Protección de Datos Personales (ANPDP)
en el Perú es la Dirección
General de Protección de Datos Personales, órgano dependiente jerárquicamente
del Despacho Viceministerial de Derechos Humanos y Acceso a la Justicia,
autoridad administrativa del Ministerio de Justicia, encargada de velar por el
cumplimiento de las disposiciones de la Ley 29733 del 02 de julio de 2011 y su
Reglamento 003-2013-JUS del 22 de marzo de 2013.
“Supervisar
la administración y actualización del Registro Nacional de Protección de Datos
Personales, así como resolver las reclamaciones formuladas por los titulares de
datos personales en tutela de sus derechos de acceso, rectificación,
cancelación y oposición. Asimismo, emite opinión técnica vinculante respecto de
los proyectos de normas que regulen los datos personales y emite las directivas
para la adecuada aplicación de la Ley de Protección de Datos Personales y su
Reglamento.
La
Dirección General de Protección de Datos Personales ejerce las funciones
administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y
sancionadoras a través de las siguientes unidades orgánicas:
-
Dirección de Registro Nacional de Protección de Datos Personales
-
Dirección de Supervisión y Control
-
Dirección de Sanciones
-
Dirección de Normatividad y Asistencia Legal”
B.2.
EUROPA
Estas normas nacionales no necesariamente coinciden ni velan, como determinadas leyes resultantes de la transposición de la Directiva Europea 95/46/CE ni de la Directiva Europea 2002/58/CE, porque la informática se encuentre al servicio de los ciudadanos y no afecte ni la identidad humana, ni a los derechos humanos, ni la vida privada, ni a las libertades individuales o públicas.
En general, las Misiones de las ANPDP u órganos similares
en otros países se encargan de 1. Informar, 2. Garantizar el derecho de acceso,
3. Reglamentar e Identificar archivos, 4. Controlar y 5. Sancionar. Un 6.
Comentario sobre algunos aspectos no incluidos en las misiones y organización de
la ANPDP y de otros países se expone al final.
1. Informar a los interesados de sus derechos y a los responsables del tratamiento de sus obligaciones
ANPDP u órganos similares informan a las personas de sus derechos y obligaciones, incluyendo a los Colegios de Abogados, Notarios, Ingenieros. Ellas también disponen de iniciativa legislativa y proponen a los respectivos Poderes las medidas legislativas o reglamentarias para adaptar la protección de las libertades y la vida privada a la evolución de las técnicas.
Igualmente se solicita la opinión de la ANPDP u órganos
similares deberá ser solicitada antes de
toda transmisión al Parlamento de un proyecto de ley sobre la protección de datos
personales.
2. Garantizar
el derecho de acceso
La ANPDP u órganos
similares velan porque los ciudadanos accedan eficazmente a los datos contenidos
o al tratamiento que le conciernen, entre otros, mediante su departamento de acceso.
Además, lleva a cabo por cuenta de los ciudadanos que lo deseen,
el acceso a los archivos relevantes de la seguridad del Estado, la defensa y la
seguridad pública (archivos de la policía, archivos de inteligencia, archivo de
migraciones, etc...).
Algunos de estos archivos pueden ser consultados durante
el reclutamiento, la aprobación o la autorización de personal de diversas
profesiones (vigilancia, seguridad, empleo en las zonas aeroportuarias, función
pública...) o incluso para la emisión o la renovación de títulos para la
entrada y la estancia de extranjeros. Las informaciones que contienen o, en su
caso, sus inexactitudes pueden ser causa de despido, negativa a contratar o la concesión
de un visado y puede tener graves consecuencias sobre la situación de las personas.
Las informaciones del archivo de cuentas bancarias en poder de la Dirección
General de Finanzas Públicas, que se refieren a las aperturas y movimientos de
la cuenta, también caen bajo este procedimiento.
En estos casos, el abogado puede aconsejar a su cliente
para ponerse en contacto con el servicio de derecho de acceso indirecto (DAI)
de la ANPDP respectiva u órganos similares, para verificar si se encuentra
fichado y, en su caso, solicitar la rectificación o la supresión de los datos
inexactos. Uno de los Directivos de la Autoridad - de preferencia un magistrado
en ejercicio o ex magistrado - ejercerá en su nombre, su derecho de acceso.
3. Reglamentar
e Identificar archivos.
Para asegurar su misión reglamentaria, la ANPDP emite
opiniones, sobre todo, sobre los tratamientos públicos que utilizan el número
de seguridad social o aquellos que interesan la seguridad del Estado.
Ella también podrá establecer exenciones de declaración o
incluso normas simplificadas a fin que los tratamientos más corrientes y menos
peligrosos para las libertades individuales se encuentren sujetos a
formalidades menos estrictas. En el ámbito del procedimiento de autorización,
ella puede elaborar autorizaciones únicas.
Por otra parte, para el tratamiento de datos personales considerados
"de riesgo" por el hecho de sus finalidades (listas negras, interconexiones...)
o la naturaleza de la informaciones tratadas (datos biométricos que incluyen
apreciaciones sobre las dificultades sociales, datos relativos a las infracciones,
condenas o medidas de seguridad...) están sujetos a una autorización de la ANPDP
u órganos similares, antes de su puesta en obra.
En cuanto a otros tratamientos de datos personales, la ANPDP
recibe y empadrona las declaraciones
correspondientes. De conformidad con el artículo 34 de la Ley de Protección de
Datos, ella tiene a disposición del público el "archivo de los archivos”, es decir, el Registro Nacional de Protección de
Datos Personales, listado de los tratamientos declarados y sus principales
características.
El incumplimiento de las formalidades previas por los
responsables de tratamiento de datos está sujeto a sanciones administrativas o
penales. Esta última no ha sido contemplada especificamente en la normatividad peruana.
4. Controlar
La ANPDP u órganos
similares verifican que la Ley y Reglamento sean respetados, sobre todo controlando
las aplicaciones informáticas durante las misiones que diligente su Presidente
o Director.
La ANPDP utiliza
sus poderes de verificación y de investigación para instruir las quejas, disponer
de una mejor comprensión de algunos archivos, apreciar mejor las consecuencias
del uso de la informática en ciertos sectores, o asegurar el monitoreo de sus
deliberaciones.
ANPDP supervisa,
por otra parte, la seguridad de los sistemas de información, garantizando que
se tomen todas las precauciones necesarias para evitar que los datos sean deformados
o comunicados a personas no autorizadas.
5 Sancionar.
Como resultado de controles o de instrucción de quejas,
la formación contenciosa de la ANPDP, compuesta por un número variable de miembros – por lo general cinco - y de un
Presidente, distinto del Presidente de la ANPDP, puede imponer diversas
sanciones contra los responsables de tratamientos que no cumplen la ley.
Por otra parte, en el caso de violaciones graves e
inmediatas a los derechos y libertades garantizadas por la ley por la normativa
de Protección de Datos Personales, la formación contenciosa de la ANPDP podrá
adoptar medidas de urgencia.
Además, el Presidente de la Comisión dispone de un poder
propio, aquel de denunciar al Procurador de la República las violaciones a la
ley.
6. Comentario
Para los
objetivos del presente artículo, solo identificaremos cinco aspectos que no han
sido considerados en las misiones y organización de la ANPDP de Perú en relación
a otros órganos similares en otros países:
a. Precisar
el rol de servicio de la informática en la defensa y el respeto de la persona
humana y no a la inversa, reforzando la finalidad suprema de la sociedad
peruana y del Estado, según la Constitución vigente. Articulo 1;
b. La
Autoridad Nacional de Protección de Datos Personales en Perú (ANPDP), depende jerárquicamente del Despacho
Viceministerial de Derechos Humanos y Acceso a la Justicia,
autoridad administrativa del Ministerio de Justicia; y en consecuencia del
Poder Ejecutivo, y no como Autoridad Administrativa independiente, compuesta de
múltiples representantes de los Poderes del Estado, de la sociedad civil y
personalidades, que ejercen y mantienen en su seno los principios constitucionales
de separación y equilibrio de poderes, al cual adhieren los abogados.
c. Si bien la ANPDP tiene competencia en
la salvaguarda de los derechos de los
titulares de la información administrada por las Centrales Privadas de Información
de Riesgos (Cepirs) o similares conforme a los términos establecidos en la
presente Ley[2], en
materia de infracción a los derechos de los consumidores en general mediante la
prestación de los servicios e información brindados por las Cepirs o similares,
en el marco de las relaciones de consumo, son aplicables las normas sobre
protección al consumidor, siendo el ente competente de manera exclusiva y
excluyente para la supervisión de su cumplimiento la Comisión de Protección al
Consumidor del Instituto Nacional de Defensa de la Competencia y de la
Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la
idoneidad de los bienes y servicios en función de la información brindada a los
consumidores.
Este artículo
desdice la verdadera y real intención de protección de datos personales reconocida
por la Constitución, y dejo abierta la posibilidad de obtención de datos personales
por medios al menos desleales o ilícitos Por ejemplo, el Artículo 14. Limitaciones al consentimiento
para el tratamiento de datos personales, indica que “No se requiere el consentimiento
del titular de datos personales, para los efectos de su tratamiento, en los
siguientes casos: (…)
3. Cuando se
trate de datos personales relativos a la solvencia patrimonial y de crédito,
conforme a ley. Y es que el exacerbado
liberalismo legislativo, retiró esta función a la Superintendencia de Banca y
Seguros, creando nichos de inversión de la Banca privada para ejercerla, quien,
mediante Cepirs o similares, vía formularios de créditos, colectan y tratan información
excesiva a la finalidad, y además, son remunerados por la circulación de estas
bases y por las certificaciones emitidas sobre la solvencia patrimonial y
crediticia de y por sus usuarios. Ni siquiera en la ley española de protección
de datos personales, que sirvió de base para elaborar la norma nacional, existe
un tal artículo[3].
En el caso europeo, y si nos referimos solo a la legislación francesa, estas pueden ir desde las advertencias hasta las multas, incluyendo penas privativas de libertad, aplicables por la Ley de Informática y Libertades como por el Código Penal francés. Pudiéndose decidir, además, la interrupción de la aplicación del tratamiento, el bloqueo de algunos datos personales tratados, informar al Primer Ministro para tomar, en su caso, las medidas para detener la violación, necesarias a la salvaguarda de esos derechos y libertades. Para el caso de las multas están pueden ir hasta 300,000 € y la pena privativa de libertad efectiva hasta por cinco anos[4]. Las diferencias son enormes, y el efecto disuasivo y represivo igualmente. La asistencia jurídica y legal por abogados especializados deviene así un recurso accesorio o imprescindible.
e. Finalmente,
no ha sido previsto el rol de intermediación de la ANPDP en el acceso por
cuenta de los ciudadanos que lo deseen, a los archivos relevantes de la seguridad
del Estado, la defensa y la seguridad pública (archivos de la policía, archivos
de inteligencia, archivo de migraciones, archivos de salud, etc...). Los responsables de la ejecución de las leyes
de Transparencia y la ley de Protección de Datos Personales debieran instrumentar
las normas y procedimientos que pudieran cubrir estos vacios o posibles zonas
de litigio.
[1] http://www.minjus.gob.pe/proteccion-de-datos-personales/#
[2] LEY 29733 DISPOSICION
COMPLEMENTARIA FINAL SÉTIMA. Competencias del Instituto Nacional de Defensa de
la Competencia y de la Protección de la Propiedad Intelectual (Indecopi)
Ley
Artículo
6. Consentimiento del afectado
1. El
tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco
del afectado, salvo que la ley disponga otra cosa.
2. No
será preciso el consentimiento cuando los datos de carácter personal se recojan
para el ejercicio de las funciones propias de las Administraciones públicas en
el ámbito de sus competencias; cuando se refieran a las partes de un contrato o
precontrato de una relación negocial, laboral o administrativa y sean
necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los
datos tenga por finalidad proteger un interés vital del interesado en los
términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos
figuren en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el
responsable
del fichero o por el del tercero a quien se comuniquen los datos, siempre que
no se vulneren los derechos y libertades fundamentales del interesado.
3. El
consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa
justificada para ello y no se le atribuyan efectos retroactivos.4. En los casos
en los que no sea necesario el consentimiento del afectado para el tratamiento
de los datos de carácter personal, y siempre que una ley no disponga lo contrario,
éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos
relativos a una concreta situación personal. En tal supuesto, el responsable del
fichero excluirá del tratamiento los datos relativos al afectado.
[4] Código Penal Francés
El Capítulo VI De los atentados contra
la personalidad, en su Sección V, se refiere a los atentados a los derechos de
la persona resultantes de los ficheros y tratamientos informáticos.
Sección
V
De los
atentados a los derechos de la persona resultantes de los ficheros o
tratamientos informáticos
Ver del Artículo 226-16 al 226-24
