lunes, 30 de junio de 2014

MISIONES DE LA AUTORIDAD NACIONAL DE PROTECCION DE DATOS PERSONALES

B. CINCO MISIONES DE LA AUTORIDAD NACIONA DE PROTECCION DE DATOS PERSONALES


(SEGUNDA PARTE)


B.1. PERU

La Autoridad Nacional de Protección de Datos Personales (ANPDP) en el Perú es la Dirección General de Protección de Datos Personales, órgano dependiente jerárquicamente del Despacho Viceministerial de Derechos Humanos y Acceso a la Justicia, autoridad administrativa del Ministerio de Justicia, encargada de velar por el cumplimiento de las disposiciones de la Ley 29733 del 02 de julio de 2011 y su Reglamento 003-2013-JUS del 22 de marzo de 2013.

Según la información contenida en su sitio web[1], la ANPDP se encarga de:

“Supervisar la administración y actualización del Registro Nacional de Protección de Datos Personales, así como resolver las reclamaciones formuladas por los titulares de datos personales en tutela de sus derechos de acceso, rectificación, cancelación y oposición. Asimismo, emite opinión técnica vinculante respecto de los proyectos de normas que regulen los datos personales y emite las directivas para la adecuada aplicación de la Ley de Protección de Datos Personales y su Reglamento.

La Dirección General de Protección de Datos Personales ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras a través de las siguientes unidades orgánicas:

- Dirección de Registro Nacional de Protección de Datos Personales
- Dirección de Supervisión y Control
- Dirección de Sanciones
- Dirección de Normatividad y Asistencia Legal”

B.2. EUROPA

Estas normas nacionales no necesariamente coinciden ni velan, como determinadas leyes resultantes de la transposición de la Directiva Europea 95/46/CE ni de la Directiva Europea 2002/58/CE, porque la informática se encuentre al servicio de los ciudadanos y no afecte ni la identidad humana, ni a los derechos humanos, ni la vida privada, ni a las libertades individuales o públicas.
En general, las Misiones de las ANPDP u órganos similares en otros países se encargan de 1. Informar, 2. Garantizar el derecho de acceso, 3. Reglamentar e Identificar archivos, 4. Controlar y 5. Sancionar. Un 6. Comentario sobre algunos aspectos no incluidos en las misiones y organización de la ANPDP y de otros países se expone al final.

1. Informar a los interesados
​​de sus derechos y a los responsables del tratamiento de sus obligaciones

ANPDP u órganos similares informan a las personas de sus derechos y obligaciones, incluyendo a los Colegios de Abogados, Notarios, Ingenieros. Ellas también disponen de iniciativa legislativa y proponen a los respectivos Poderes las medidas legislativas o reglamentarias para adaptar la protección de las libertades y la vida privada a la evolución de las técnicas.

Igualmente se solicita la opinión de la ANPDP u órganos similares  deberá ser solicitada antes de toda transmisión al Parlamento de un proyecto de ley sobre la protección de datos personales.

2. Garantizar el derecho de acceso

La ANPDP  u órganos similares velan porque los ciudadanos accedan eficazmente a los datos contenidos o al tratamiento que le conciernen, entre otros, mediante su departamento de acceso.

Además, lleva a cabo por cuenta de los ciudadanos que lo deseen, el acceso a los archivos relevantes de la seguridad del Estado, la defensa y la seguridad pública (archivos de la policía, archivos de inteligencia, archivo de migraciones, etc...).

Algunos de estos archivos pueden ser consultados durante el reclutamiento, la aprobación o la autorización de personal de diversas profesiones (vigilancia, seguridad, empleo en las zonas aeroportuarias, función pública...) o incluso para la emisión o la renovación de títulos para la entrada y la estancia de extranjeros. Las informaciones que contienen o, en su caso, sus inexactitudes pueden ser causa de despido, negativa a contratar o la concesión de un visado y puede tener graves consecuencias sobre la situación de las personas. Las informaciones del archivo de cuentas bancarias en poder de la Dirección General de Finanzas Públicas, que se refieren a las aperturas y movimientos de la cuenta, también caen bajo este procedimiento.

En estos casos, el abogado puede aconsejar a su cliente para ponerse en contacto con el servicio de derecho de acceso indirecto (DAI) de la ANPDP respectiva u órganos similares, para verificar si se encuentra fichado y, en su caso, solicitar la rectificación o la supresión de los datos inexactos. Uno de los Directivos de la Autoridad - de preferencia un magistrado en ejercicio o ex magistrado - ejercerá en su nombre, su derecho de acceso.

3. Reglamentar e Identificar archivos.

Para asegurar su misión reglamentaria, la ANPDP emite opiniones, sobre todo, sobre los tratamientos públicos que utilizan el número de seguridad social o aquellos que interesan la seguridad del Estado.

Ella también podrá establecer exenciones de declaración o incluso normas simplificadas a fin que los tratamientos más corrientes y menos peligrosos para las libertades individuales se encuentren sujetos a formalidades menos estrictas. En el ámbito del procedimiento de autorización, ella  puede elaborar autorizaciones únicas.

Por otra parte, para el tratamiento de datos personales considerados "de riesgo" por el hecho de sus finalidades (listas negras, interconexiones...) o la naturaleza de la informaciones tratadas (datos biométricos que incluyen apreciaciones sobre las dificultades sociales, datos relativos a las infracciones, condenas o medidas de seguridad...) están sujetos a una autorización de la ANPDP u órganos similares, antes de su puesta en obra.

En cuanto a otros tratamientos de datos personales, la ANPDP  recibe y empadrona las declaraciones correspondientes. De conformidad con el artículo 34 de la Ley de Protección de Datos, ella tiene a disposición del público el  "archivo  de los archivos”, es decir, el Registro Nacional de Protección de Datos Personales, listado de los tratamientos declarados y sus principales características.

El incumplimiento de las formalidades previas por los responsables de tratamiento de datos está sujeto a sanciones administrativas o penales. Esta última no ha sido contemplada especificamente en la normatividad peruana.

4. Controlar

La ANPDP  u órganos similares verifican que la Ley y Reglamento sean respetados, sobre todo controlando las aplicaciones informáticas durante las misiones que diligente su Presidente o Director.

La ANPDP  utiliza sus poderes de verificación y de investigación para instruir las quejas, disponer de una mejor comprensión de algunos archivos, apreciar mejor las consecuencias del uso de la informática en ciertos sectores, o asegurar el monitoreo de sus deliberaciones.

ANPDP  supervisa, por otra parte, la seguridad de los sistemas de información, garantizando que se tomen todas las precauciones necesarias para evitar que los datos sean deformados o comunicados a personas no autorizadas.

5 Sancionar.

Como resultado de controles o de instrucción de quejas, la formación contenciosa de la ANPDP, compuesta por un número variable de  miembros – por lo general cinco - y de un Presidente, distinto del Presidente de la ANPDP, puede imponer diversas sanciones contra los responsables de tratamientos que  no cumplen la ley.

Por otra parte, en el caso de violaciones graves e inmediatas a los derechos y libertades garantizadas por la ley por la normativa de Protección de Datos Personales, la formación contenciosa de la ANPDP podrá adoptar medidas de urgencia.

Además, el Presidente de la Comisión dispone de un poder propio, aquel de denunciar al Procurador de la República las violaciones a la ley.

6. Comentario

Para los objetivos del presente artículo, solo identificaremos cinco aspectos que no han sido considerados en las misiones y organización de la ANPDP de Perú en relación a otros órganos similares en otros países:
        
          a. Precisar el rol de servicio de la informática en la defensa y el respeto de la persona humana y no a la inversa, reforzando la finalidad suprema de la sociedad peruana y del Estado, según la Constitución vigente. Articulo 1;
    
    b. La Autoridad Nacional de Protección de Datos Personales en Perú (ANPDP), depende jerárquicamente del Despacho Viceministerial de Derechos Humanos y Acceso a la Justicia, autoridad administrativa del Ministerio de Justicia; y en consecuencia del Poder Ejecutivo, y no como Autoridad Administrativa independiente, compuesta de múltiples representantes de los Poderes del Estado, de la sociedad civil y personalidades, que ejercen y mantienen en su seno los principios constitucionales de separación y equilibrio de poderes, al cual adhieren los abogados.

      c. Si bien la ANPDP tiene competencia en la salvaguarda de los derechos de los titulares de la información administrada por las Centrales Privadas de Información de Riesgos (Cepirs) o similares conforme a los términos establecidos en la presente Ley[2], en materia de infracción a los derechos de los consumidores en general mediante la prestación de los servicios e información brindados por las Cepirs o similares, en el marco de las relaciones de consumo, son aplicables las normas sobre protección al consumidor, siendo el ente competente de manera exclusiva y excluyente para la supervisión de su cumplimiento la Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la idoneidad de los bienes y servicios en función de la información brindada a los consumidores.

Este artículo desdice la verdadera y real intención de protección de datos personales reconocida por la Constitución, y dejo abierta la posibilidad de obtención de datos personales por medios al menos desleales o ilícitos Por ejemplo, el Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales, indica que “No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: (…)
3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley. Y es que el exacerbado liberalismo legislativo, retiró esta función a la Superintendencia de Banca y Seguros, creando nichos de inversión de la Banca privada para ejercerla, quien, mediante Cepirs o similares, vía formularios de créditos, colectan y tratan información excesiva a la finalidad, y además, son remunerados por la circulación de estas bases y por las certificaciones emitidas sobre la solvencia patrimonial y crediticia de y por sus usuarios. Ni siquiera en la ley española de protección de datos personales, que sirvió de base para elaborar la norma nacional, existe un tal artículo[3]

d. Un penúltimo comentario es el referido al peso de las sanciones y penas. En el caso de la legislación peruana, aparte de las sanciones disciplinarias sobre el personal de las entidades públicas en los casos de bancos de datos personales de administración pública, así como de la indemnización por daños y perjuicios y de las sanciones penales a que hubiera lugar, pueden adicionarse multas coercitivas por un monto que no supere las diez unidades impositivas tributarias (UIT) en el caso de incumplimiento de obligaciones accesorias a la sanción impuestas en el procedimiento sancionador a las infracciones leves que van desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cien unidades impositivas tributarias (UIT) para las infracciones muy graves. 

En el caso europeo, y si nos referimos solo a la legislación francesa, estas pueden ir desde las advertencias hasta las multas, incluyendo penas privativas de libertad, aplicables por la Ley de Informática y Libertades como por el Código Penal francés. Pudiéndose decidir, además, la interrupción de la aplicación del tratamiento, el bloqueo de algunos datos personales tratados, informar al Primer Ministro para tomar, en su caso, las medidas para detener la violación, necesarias a la salvaguarda de esos derechos y libertades. Para el caso de las multas están pueden ir hasta 300,000 € y la pena privativa de libertad efectiva hasta por cinco anos[4]. Las diferencias son enormes, y el efecto disuasivo y represivo igualmente. La asistencia jurídica y legal por abogados especializados deviene así un recurso accesorio o imprescindible.
            
    e. Finalmente, no ha sido previsto el rol de intermediación de la ANPDP en el acceso por cuenta de los ciudadanos que lo deseen, a los archivos relevantes de la seguridad del Estado, la defensa y la seguridad pública (archivos de la policía, archivos de inteligencia, archivo de migraciones, archivos de salud, etc...).  Los responsables de la ejecución de las leyes de Transparencia y la ley de Protección de Datos Personales debieran instrumentar las normas y procedimientos que pudieran cubrir estos vacios o posibles zonas de litigio.


[1] http://www.minjus.gob.pe/proteccion-de-datos-personales/#
[2] LEY 29733 DISPOSICION COMPLEMENTARIA FINAL SÉTIMA. Competencias del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi)
[3] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal
Ley Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
[4] Código Penal Francés
El Capítulo VI De los atentados contra la personalidad, en su Sección V, se refiere a los atentados a los derechos de la persona resultantes de los ficheros y tratamientos informáticos.
Sección V
De los atentados a los derechos de la persona resultantes de los ficheros o tratamientos informáticos
Ver del Artículo 226-16 al 226-24

No hay comentarios:

Publicar un comentario