sábado, 30 de mayo de 2015

LÍMITES Y OMISIONES DE LA PROTECCIÓN DE DATOS PERSONALES O SISTEMATIZACION INAPROPIADA?


Carlos A. FERREYROS SOTO
 cferreyros@hotmail.com


Una de las características fundamentales de la técnica informática, la posibilidad de comunicar a distancia, no ha sido tomada en cuenta en la regulación de la protección de datos personales en el Perú, o su sistematización es inapropiada. Dos rasgos definen la limitación y omisión.

El artículo 3 de la Ley de Protección de Datos Personales de Perú, Ley 29733, limita su ámbito de aplicación:

(…) a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional. Son objeto de especial protección los datos sensibles.  

El artículo 3 del Reglamento, D.S. 003-2013-JUS, precisa el límite del ámbito de aplicación  a los datos personales contenidos o destinados a ser contenidos en banco de datos personales de administración pública o privada, refiriéndose a la Constitución, a los soportes, al reconocimiento de existencia de normas o regímenes particulares o especiales, y su no necesaria derogatoria o in-aplicación[1].      

Cuanto a su aplicación territorial, el artículo 5 del Reglamento, precisa cuales son los casos de figura en los cuales se aplica al tratamiento de datos personales: cuando este:

1. Sea efectuado en un establecimiento ubicado en territorio peruano correspondiente al titular del banco de datos personales o de quien resulte responsable del tratamiento.
2. Sea efectuado por un encargado del tratamiento, con independencia de su ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento.
3. El titular del banco de datos personales o quien resulte responsable del tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, por disposición contractual o del derecho internacional; y
4. El titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.

Para estos efectos, prosigue la norma:

(…) el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que imponen la Ley y el presente reglamento y designará un representante o implementar (¡Sic!) los mecanismos suficientes para estar en posibilidades de cumplir de manera efectiva, en territorio peruano, con las obligaciones que impone la legislación peruana.

Cuando el titular del banco de datos personales o quien resulte el responsable del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el presente reglamento. En el caso de personas naturales, el establecimiento se entenderá como el local en donde se encuentre el principal asiento de sus negocios, o el que utilicen para el desempeño de sus actividades o su domicilio. Tratándose de personas jurídicas, se entenderá como el establecimiento el local en el que se encuentre la administración principal del negocio. Si se trata de personas jurídicas residentes en el extranjero, se entenderá que es el local en el que se encuentre la administración principal del negocio en territorio peruano, o en su defecto el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad. Si no fuera posible establecer la dirección del domicilio o del establecimiento, se le considerará con domicilio desconocido en territorio peruano.

Las variantes arriba referidas, aluden a limitaciones, particularmente a normas implícitas que pudieran restringir la aplicación de las normas de protección de datos personales, aplicables solo al ámbito espacial del territorio o de la nación, o de la asignación de competencia y jurisdicción directa o indirecta por domicilios, o por personas físicas, jurídicas, revelando imprecisión y omisión.

La imprecisión se traduce por la falta de propiedad, de rigor, al hacerse alusión a normas sin explicitarlas, sin mencionar sus identificantes, contenido[2] o vigencia, pero también por el descuido e inaplicabilidad de la protección de los datos  vinculándola solo al ámbito y domicilio nacional; y a una protección de datos personales aplicable solo a los soportes físicos y digitales.

Por otro lado, el alcance de la aplicación de la normativa de protección de datos personales, omite o no integra sistemáticamente, el ámbito de su aplicabilidad al sector de las comunicaciones electrónicas.

Otro es el caso con la Directiva Europea 2002/58/CE, vigente desde hace más de una década, la misma que fija ya en el primer parágrafo del artículo 1, el ámbito de aplicación y el objetivo:

1. La presente Directiva armoniza las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.

Aparte las difíciles cuestiones de garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales, subrayando en particular solo el aspecto de la intimidad y no el de privacidad u otros derechos fundamentales; y la libre circulación de tales datos, de los equipos y servicios de comunicaciones electrónicas en la Comunidad, este  parágrafo centra su objeto en la protección de los datos personales en el sector de las comunicaciones.

En esta Directiva se incluyen disposiciones sobre temas más o menos sensibles referidos a la protección de los datos personales, como la conservación de los datos de conexión por parte de los Estados miembros a efectos de vigilancia policial (retención de datos), el envío de mensajes electrónicos no solicitados (Spam), la utilización de los denominados «chivatos» (cookies) y la inclusión de datos personales en las guías públicas.

Estas disposiciones no han sido tomadas en cuenta en la Ley ni el Reglamento de Protección de Datos Personales, ni menos integradas como temas relativos a un Sector, el de las comunicaciones en el Peru.

El tema de la conservación de los datos de conexión por parte de los Estados miembros a efectos de vigilancia policial (retención de datos), si ha sido tomado en cuenta en nuestro Texto Único Ordenado de la Ley de Telecomunicaciones, Decreto Supremo Nº 013-93-TCC, y el Texto Único Ordenado del Reglamento de la Ley de Telecomunicaciones, Decreto Supremo Nº 020-2007-MTC.

Teóricamente, los datos de conexión permiten retrazar la trayectoria de un usuario, conocer precisamente sitios y páginas visitadas, incluyendo duración de conexión, inicio y término, basándose todas estas indicaciones en la dirección IP. Si asumimos que esta dirección puede ser considerada como la dirección, sede de interés atribuida a una persona, véase domicilio del usuario en el ciberespacio, estos datos representan sus desplazamientos, “navegaciones". Ellos se reciben y almacenan en el histórico del ordenador (terminal) conectado, en los rastreadores (“chivatos  o cookies”) y datos del archivo temporal de Internet (Temporary Internet Files), pero también son registrados por los anfitriones (hosts, alojadores) de los sitios visitados.

Desde la perspectiva del Estado, quien detenta la atribución de señales, frecuencias, supone igualmente responsabilidad de un cierto número de Proveedores de Servicios Internet a quien éste les asigno: de conservar los datos evocados anteriormente (Operadores de comunicaciones electrónicas, Proveedores de servicios, Proveedores de alojamiento, como cualquier persona proveedora de servicios de acceso a Internet al público,...).

Se percibe así la relación que puede establecerse entre la dirección IP y la persona real, o de la relación entre la Ley de Protección de Datos Personales y los Textos Únicos Ordenados de Ley y Reglamento de Comunicaciones, pero que no están concordados . El uso de estos datos, por razones técnicas y dinámicas, es consubstancial a Internet, distinguiéndose de ello dos funciones: primero, estos datos aseguran el intercambio de información entre la dirección IP del ordenador y el sitio visitado; segundo, al conservarse, facilitan la conexión, acelerando el intercambio. Por ejemplo, en el caso de los “cookies” o “chivatos”, estos archivos, que se fijan en el disco duro del ordenador y en el servidor del sitio visitado, evitando repetir la información necesaria a la conexión y levantando estadísticas sobre el uso de un sitio, con el propósito de mejorar la navegación.

Complementariamente, a fin de regular el derecho a la inviolabilidad y el secreto de las telecomunicaciones, la protección de los datos personales y las acciones de supervisión y control a cargo del Ministerio del Transportes y Comunicaciones, ese Ministerio  emitió con fecha 06 de febrero del 2009, la Resolución Ministerial Nº 111-2009-MTC/03, que indirectamente regula el derecho al honor, y directamente, el derecho a/sobre la imagen y la privacidad e intimidad de a persona.


El ámbito de protección del derecho a la inviolabilidad y al secreto de las telecomunicaciones y a la protección de los datos personales, punto 6. de la Resolución, comprende entre otros aspectos los siguientes:

§  El contenido de cualquier comunicación, de voz o de datos, cursado a través de las redes de telecomunicaciones u otros medios que la tecnología permita;
§  Los mensajes de texto (SMS) y Multimedia (MMS) entrantes y salientes
§  El origen, destino, realización, curso o duración de una comunicación
§  La información de tráfico de un abonado o usuario Los datos codificados y decodificados de los registros de las llamadas
§  Lo documentos en soporte físico o magnético, y bases de datos que contengan la información referida anteriormente, así como aquellos que fueran elaborados para la prestación de los servicios públicos de distribución de radiodifusión por cable o de acceso a Internet.
§  La información personal que los Operadores de Telecomunicaciones obtengan de sus abonados y usuarios en el curso de sus operaciones comerciales y que se encuentre contenida en soportes físicos, informáticos o similares, tales como documentos  privados  bases de datos, e tanto el usuario o abonado no haya autorizado su difusión o esté permitida por el marco legal vigente.
§  Los pagos, tales como el anticipado, pago a plazos y notificación de recibos pendientes, entre otros.
§  La información referida al origen de la suspensión de servicio, distinto de la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.
§  Otros que se determine mediante Resolución Vice-Ministerial.

La cobertura de esta norma no comprende exactamente su aplicación al derecho a/sobre la imagen, el derecho al honor y el derecho a la vida privada y a la intimidad, por medios informáticos o telemáticos, sin distinguir necesariamente entre el ámbito de protección del derecho a la inviolabilidad y al secreto de las comunicaciones y la protección de los datos personales, de un lado; y la procedencia de acciones entabladas sobre la inviolabilidad y secreto de las telecomunicaciones o sobre la protección de los datos personales por los usuarios, órganos jurisdiccionales y administrativos y la réplica de los PAI o Empresas operadoras, del otro.

Se atenta contra la vulneración del derecho a la inviolabilidad y al secreto de las telecomunicaciones, punto 7 de la Resolución, la misma que no incluye la amenaza:

Cuando deliberadamente una persona, que no es quien origina ni el destinatario de la comunicación, la sustrae, intercepta, interfiere cambia o altera, desvía su curso, publica, divulga, trata de conocer o facilitar que él mismo o terceros conozcan su existencia o contenido, salvo las excepciones previstas en la ley.

Se atenta contra la vulneración del derecho a la protección de datos personales, punto 8, la misma que no incluye la amenaza:
 Cuando esta es entregada a terceros, salvo las excepciones previstas en la ley. No incluye la Guía de Abonados que los PAIs, publiquen; ni la entrega de información personal a los usuarios o abonados a terceros que participen en la gestión comercial del servicio y respecto de la información necesaria para dicho fin.

Otros aspectos relacionados con la Finalidad, Base Legal, Alcances, Definiciones, Referencias, Obligaciones de los PAIs, Pautas de Seguridad, Inspecciones, Informes e Infracciones en la Resolución Ministerial, se toman en cuenta el Texto Único Ordenado de la Ley de Telecomunicaciones y su Reglamento, particularmente el:

1) Respeto y salvaguarda del secreto de las telecomunicaciones y la protección de los datos personales de los usuarios y/o abonados de los PAIs, basado en el
·                 Consentimiento previo, informado, expreso y por escrito del interesado.
·                 Mandato judicial motivado.
2) Otorgar las facilidades necesarias a la Dirección General de Control del MTC para el cumplimiento de sus funciones de inspección y verificación, sin previa notificación.
3) Implementar medidas y procedimientos señalados en los lineamientos de la Resolución Ministerial, para cumplir con las obligaciones de los PAIs.

A pesar de ello, las normas propuestas Texto Único Ordenado de la Ley de Telecomunicaciones, Reglamento y Resolución Ministerial N° 111-2009-MTC/03 no son suficientes para garantizar una debida protección del derecho a/sobre la imagen, el derecho al honor y el derecho a la vida privada y a la intimidad. La legislación francesa, particularmente la Ley sobre la Confianza en la Economía Numérica, esbozada líneas arriba, puede ser tomada como referente para mejorar nuestra regulación en esas materias.

Sobre la inclusión de datos personales en las guías públicas, en soporte papel, digital y en el sector de las comunicaciones aún no se tiene una regulación apropiada, si bien los dos primeros soportes pudieran ser contemplados en la Ley 29733 y su Reglamento.

En conclusión, la normativa de Protección de Datos Personales peruana, se limito y omitió en la Ley y Reglamento, sus alcances desde la perspectiva de las telecomunicaciones. Se trata pues de una falta de sistematización, que felizmente fueron corregidas por los Textos Únicos Ordenados de Ley y Reglamento de Comunicaciones, sin dejar de mencionar el gazapo en el Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley 29733, Ley de Protección de Datos Personales.



[1] (…) Conforme a lo dispuesto por el numeral 6 del artículo 2 de la Constitución Política del Perú y el artículo 3 de la Ley, 
el presente reglamento se aplicará a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, 
entidades públicas o instituciones del sector privado e independientemente del soporte en el que se encuentren. La existencia 
de normas o regímenes particulares o especiales, aun cuando incluyan regulaciones sobre datos personales, no excluye a 
las entidades públicas o instituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del
 presente reglamento. Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las normas particulares
, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.
[2] Artículo 3 del Reglamento: (…) La existencia de normas o regímenes particulares o especiales (Cuáles?), aun cuando incluyan regulaciones sobre datos personales, no excluye a las entidades públicas o instituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del presente reglamento (Precisar?). Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales (En qué casos?).    
[3] Aprueban la "Norma que establece medidas destinadas a salvaguardar el derecho a la inviolabilidad y el secreto de las 
telecomunicaciones y la protección de datos personales, y regula las acciones de supervisión y control a cargo del Ministerio 
de Transporte y Comunicaciones"