Carlos A. FERREYROS SOTO
cferreyros@hotmail.com
Una de las
características fundamentales de la técnica informática, la posibilidad de
comunicar a distancia, no ha sido tomada en cuenta en la regulación de la
protección de datos personales en el Perú, o su sistematización es inapropiada.
Dos rasgos definen la limitación y omisión.
El artículo 3 de la Ley
de Protección de Datos Personales de Perú, Ley 29733, limita su ámbito
de aplicación:
(…)
a los datos personales contenidos o destinados a ser contenidos en bancos de
datos personales de administración pública y de administración privada, cuyo
tratamiento se realiza en el territorio nacional. Son objeto de especial
protección los datos sensibles.
El artículo 3 del Reglamento, D.S.
003-2013-JUS, precisa el límite del ámbito de aplicación a los datos personales contenidos o
destinados a ser contenidos en banco de datos personales de administración
pública o privada, refiriéndose a la Constitución, a los soportes, al
reconocimiento de existencia de normas o regímenes particulares o especiales, y
su no necesaria derogatoria o in-aplicación[1].
Cuanto a su aplicación territorial, el
artículo 5 del Reglamento, precisa cuales son los casos de figura en los cuales
se aplica al tratamiento de datos personales: cuando este:
1.
Sea efectuado en un establecimiento ubicado en territorio peruano
correspondiente al titular del banco de datos personales o de quien resulte
responsable del tratamiento.
2.
Sea efectuado por un encargado del tratamiento, con independencia de su
ubicación, a nombre de un titular de banco de datos personales establecido en
territorio peruano o de quien sea el responsable del tratamiento.
3.
El titular del banco de datos personales o quien resulte responsable del
tratamiento no esté establecido en territorio peruano, pero le resulte
aplicable la legislación peruana, por disposición contractual o del derecho
internacional; y
4.
El titular del banco de datos personales o quien resulte responsable no esté
establecido en territorio peruano, pero utilice medios situados en dicho
territorio, salvo que tales medios se utilicen únicamente con fines de tránsito
que no impliquen un tratamiento.
Para
estos efectos, prosigue
la norma:
(…) el
responsable deberá proveer los medios que resulten necesarios para el efectivo
cumplimiento de las obligaciones que imponen la Ley y el presente reglamento y
designará un representante o implementar (¡Sic!) los mecanismos suficientes para
estar en posibilidades de cumplir de manera efectiva, en territorio peruano,
con las obligaciones que impone la legislación peruana.
Cuando
el titular del banco de datos personales o quien resulte el responsable del
tratamiento no se encuentre establecido en territorio peruano, pero el
encargado del tratamiento lo esté, a este último le serán aplicables las
disposiciones relativas a las medidas de seguridad contenidas en el presente
reglamento. En el caso de personas naturales, el establecimiento se entenderá
como el local en donde se encuentre el principal asiento de sus negocios, o el
que utilicen para el desempeño de sus actividades o su domicilio. Tratándose de
personas jurídicas, se entenderá como el establecimiento el local en el que se
encuentre la administración principal del negocio. Si se trata de personas
jurídicas residentes en el extranjero, se entenderá que es el local en el que
se encuentre la administración principal del negocio en territorio peruano, o
en su defecto el que designen, o cualquier instalación estable que permita el
ejercicio efectivo o real de una actividad. Si no fuera posible establecer la
dirección del domicilio o del establecimiento, se le considerará con domicilio
desconocido en territorio peruano.
Las variantes arriba referidas, aluden
a limitaciones, particularmente a normas implícitas que pudieran restringir la
aplicación de las normas de protección de datos personales, aplicables solo al
ámbito espacial del territorio o de la nación, o de la asignación de
competencia y jurisdicción directa o indirecta por domicilios, o por personas
físicas, jurídicas, revelando imprecisión
y omisión.
La imprecisión se traduce por la falta de propiedad, de rigor, al
hacerse alusión a normas sin explicitarlas, sin mencionar sus identificantes, contenido[2] o vigencia, pero también
por el descuido e inaplicabilidad de la protección de los datos vinculándola solo al ámbito y domicilio
nacional; y a una protección de datos personales aplicable solo a los soportes
físicos y digitales.
Por otro lado, el alcance de la
aplicación de la normativa de protección de datos personales, omite o no integra sistemáticamente, el
ámbito de su aplicabilidad al sector de las
comunicaciones electrónicas.
Otro es el caso con la
Directiva Europea 2002/58/CE, vigente desde hace más de una década, la misma
que fija ya en el primer parágrafo del artículo 1, el ámbito de aplicación y el
objetivo:
1. La presente Directiva armoniza las disposiciones de los Estados
miembros necesarias para garantizar un nivel equivalente de protección de las
libertades y los derechos fundamentales y, en particular, del derecho a la
intimidad, en lo que respecta al tratamiento de los datos personales en el
sector de las comunicaciones electrónicas, así como la libre circulación de tales
datos y de los equipos y servicios de comunicaciones electrónicas en la
Comunidad.
Aparte las difíciles cuestiones de
garantizar un nivel equivalente de protección de las libertades y los derechos
fundamentales, subrayando en particular solo el
aspecto de la intimidad y no el de privacidad u otros derechos fundamentales;
y la libre circulación de tales datos, de los equipos
y servicios de comunicaciones electrónicas en la Comunidad, este parágrafo centra su
objeto en la protección de los datos personales en el sector de las
comunicaciones.
En esta Directiva se incluyen
disposiciones sobre temas más o menos sensibles referidos a la protección de
los datos personales, como la conservación de los datos de conexión por parte
de los Estados miembros a efectos de vigilancia policial (retención de datos),
el envío de mensajes electrónicos no solicitados (Spam), la utilización de los
denominados «chivatos» (cookies)
y la inclusión de datos personales en las guías públicas.
Estas disposiciones no han sido
tomadas en cuenta en la Ley ni el Reglamento de Protección de Datos Personales,
ni menos integradas como temas relativos a un Sector, el de las comunicaciones
en el Peru.
El tema de la conservación de los datos de
conexión por parte de los Estados miembros a efectos de vigilancia policial
(retención de datos), si ha sido tomado en cuenta en nuestro Texto Único Ordenado de la Ley de Telecomunicaciones, Decreto Supremo Nº 013-93-TCC, y el Texto Único Ordenado del Reglamento de la Ley de Telecomunicaciones, Decreto Supremo Nº 020-2007-MTC.
Teóricamente, los datos de conexión permiten retrazar la trayectoria de un usuario, conocer precisamente
sitios y páginas visitadas, incluyendo duración de
conexión, inicio y término, basándose todas estas indicaciones en la dirección
IP. Si asumimos que esta dirección puede ser considerada como la dirección,
sede de interés atribuida a una persona, véase domicilio del usuario en el
ciberespacio, estos datos representan sus desplazamientos, “navegaciones". Ellos
se reciben y almacenan en el histórico del ordenador (terminal) conectado, en
los rastreadores (“chivatos o cookies”)
y datos del archivo temporal de Internet (Temporary Internet Files), pero también son
registrados por los anfitriones (hosts, alojadores) de los sitios visitados.
Desde la perspectiva
del Estado, quien detenta la atribución de señales, frecuencias, supone
igualmente responsabilidad de un
cierto número de Proveedores de Servicios Internet a
quien éste les asigno: de conservar los datos evocados anteriormente (Operadores de comunicaciones electrónicas, Proveedores de
servicios, Proveedores de alojamiento, como cualquier persona proveedora de servicios de acceso a Internet al público,...).
Se percibe así la
relación que puede establecerse entre la dirección IP y la persona real, o de
la relación entre la Ley de Protección de Datos Personales y los Textos Únicos Ordenados
de Ley y Reglamento de Comunicaciones, pero que no están concordados . El uso de estos datos, por razones técnicas y dinámicas, es
consubstancial a Internet, distinguiéndose de ello dos funciones:
primero, estos datos aseguran el intercambio de información
entre la dirección IP del ordenador y el sitio visitado; segundo, al conservarse, facilitan la conexión, acelerando el intercambio. Por ejemplo, en el caso de los “cookies”
o “chivatos”, estos archivos, que se fijan en el disco
duro del ordenador y en el servidor del sitio visitado,
evitando repetir la información necesaria a la conexión y
levantando estadísticas sobre el uso de un sitio, con el propósito de mejorar la navegación.
Complementariamente,
a fin de regular el derecho a la inviolabilidad y el secreto de las
telecomunicaciones, la protección de los datos personales y las acciones
de supervisión y control a cargo del Ministerio del Transportes y
Comunicaciones, ese Ministerio emitió
con fecha 06 de febrero del 2009, la Resolución Ministerial Nº 111-2009-MTC/03,
que indirectamente regula el derecho al honor, y directamente, el derecho
a/sobre la imagen y la privacidad e intimidad de a persona.
El ámbito de protección del derecho a la inviolabilidad y al secreto de
las telecomunicaciones y a la protección de los datos personales, punto 6.
de la Resolución, comprende entre otros aspectos los siguientes:
§ El contenido de cualquier comunicación, de voz o de
datos, cursado a través de las redes de
telecomunicaciones u otros medios que la tecnología permita;
§ Los
mensajes de texto (SMS) y Multimedia (MMS) entrantes y salientes
§ El
origen, destino, realización, curso o duración de una comunicación
§ La
información de tráfico de un abonado o usuario Los datos codificados y
decodificados de los registros de las llamadas
§ Lo
documentos en soporte físico o magnético, y bases de datos que contengan la
información referida anteriormente, así como aquellos que fueran elaborados
para la prestación de los servicios públicos de distribución de radiodifusión
por cable o de acceso a Internet.
§ La
información personal que los Operadores de Telecomunicaciones obtengan de sus
abonados y usuarios en el curso de sus operaciones comerciales y que se
encuentre contenida en soportes físicos, informáticos o similares, tales como
documentos privados bases de datos, e tanto el usuario o abonado
no haya autorizado su difusión o esté permitida por el marco legal vigente.
§ Los
pagos, tales como el anticipado, pago a plazos y notificación de recibos
pendientes, entre otros.
§ La
información referida al origen de la suspensión de servicio, distinto de la
falta de pago, que hubiera motivado o generado la conexión o desconexión del
servicio.
§ Otros
que se determine mediante Resolución Vice-Ministerial.
La cobertura de esta norma no comprende exactamente su aplicación al derecho a/sobre la imagen, el derecho al honor y el derecho a la vida privada y a la intimidad, por
medios informáticos o telemáticos, sin distinguir necesariamente entre el
ámbito de protección del derecho a la inviolabilidad y al secreto de las
comunicaciones y la protección de los datos personales, de un lado; y la
procedencia de acciones entabladas sobre la inviolabilidad y secreto de las telecomunicaciones
o sobre la protección de los datos personales por los usuarios, órganos
jurisdiccionales y administrativos y la réplica de los PAI o Empresas
operadoras, del otro.
Se atenta contra la vulneración del derecho a la inviolabilidad y al secreto de las telecomunicaciones, punto
7 de la Resolución, la misma que no incluye la amenaza:
Cuando deliberadamente una persona, que no es
quien origina ni el destinatario de la comunicación, la sustrae, intercepta,
interfiere cambia o altera, desvía su curso, publica, divulga, trata de conocer
o facilitar que él mismo o terceros conozcan su existencia o contenido, salvo
las excepciones previstas en la ley.
Se atenta contra la vulneración del derecho a la protección de datos personales, punto 8, la misma que
no incluye la amenaza:
Cuando
esta es entregada a terceros, salvo las excepciones previstas en la ley. No
incluye la Guía de Abonados que los PAIs, publiquen; ni la entrega de
información personal a los usuarios o abonados a terceros que participen en la
gestión comercial del servicio y respecto de la información necesaria para
dicho fin.
Otros aspectos relacionados con la Finalidad, Base Legal, Alcances,
Definiciones, Referencias, Obligaciones de los PAIs, Pautas de Seguridad,
Inspecciones, Informes e Infracciones en la Resolución Ministerial, se toman en
cuenta el Texto Único Ordenado de la Ley de Telecomunicaciones y su Reglamento,
particularmente el:
1) Respeto y salvaguarda del secreto de las
telecomunicaciones y la protección de los datos personales de los usuarios y/o
abonados de los PAIs, basado en el
·
Consentimiento
previo, informado, expreso y por escrito del interesado.
·
Mandato
judicial motivado.
2) Otorgar las facilidades necesarias a la Dirección
General de Control del MTC para el cumplimiento de sus funciones de inspección
y verificación, sin previa notificación.
3) Implementar medidas y procedimientos señalados en
los lineamientos de la Resolución Ministerial, para cumplir con las
obligaciones de los PAIs.
A pesar de ello, las normas propuestas Texto Único Ordenado de la Ley
de Telecomunicaciones, Reglamento y Resolución Ministerial N° 111-2009-MTC/03 no
son suficientes para garantizar una debida protección del derecho a/sobre la imagen, el derecho
al honor y el derecho a la vida privada y a la intimidad. La
legislación francesa, particularmente la Ley
sobre la Confianza en la Economía Numérica, esbozada líneas arriba, puede ser
tomada como referente para mejorar nuestra regulación en esas materias.
Sobre
la inclusión de datos personales en las guías públicas, en
soporte papel, digital y en el sector de las comunicaciones aún no se tiene una
regulación apropiada, si bien los dos primeros soportes pudieran ser
contemplados en la Ley 29733 y su Reglamento.
En conclusión, la normativa de Protección de Datos Personales
peruana, se limito y omitió en la Ley y Reglamento, sus alcances desde la
perspectiva de las telecomunicaciones. Se trata pues de una falta de
sistematización, que felizmente fueron corregidas por los Textos Únicos Ordenados de Ley y Reglamento de Comunicaciones, sin dejar de mencionar el
gazapo en el Decreto Supremo N°
003-2013-JUS, Reglamento de la Ley 29733, Ley de Protección de Datos
Personales.
[1] (…) Conforme a lo dispuesto por el numeral 6
del artículo 2 de la Constitución Política del Perú y el artículo 3 de la Ley,
el presente reglamento se aplicará a toda modalidad de tratamiento de datos
personales, ya sea efectuado por personas naturales,
entidades públicas o
instituciones del sector privado e independientemente del soporte en el que se
encuentren. La existencia
de normas o regímenes particulares o especiales, aun
cuando incluyan regulaciones sobre datos personales, no excluye a
las entidades
públicas o instituciones privadas a las que dichos regímenes se aplican del
ámbito de aplicación de la Ley y del
presente reglamento. Lo dispuesto en el
párrafo precedente no implica la derogatoria o inaplicación de las normas
particulares
, en tanto su aplicación no genere la afectación del derecho a la
protección de datos personales.
[2]
Artículo 3 del Reglamento: (…) La
existencia de normas o regímenes particulares o especiales (Cuáles?), aun
cuando incluyan regulaciones sobre datos personales, no excluye a las entidades
públicas o instituciones privadas a las que dichos regímenes se aplican del
ámbito de aplicación de la Ley y del presente reglamento (Precisar?). Lo
dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de
las normas particulares, en tanto su aplicación no genere la afectación del
derecho a la protección de datos personales (En qué casos?).
[3]
Aprueban la "Norma que establece medidas destinadas a salvaguardar el
derecho a la inviolabilidad y el secreto de las
telecomunicaciones y la
protección de datos personales, y regula las acciones de supervisión y control
a cargo del Ministerio
de Transporte y Comunicaciones"
No hay comentarios:
Publicar un comentario