jueves, 21 de junio de 2018

PROYECTO DE MODIFICATORIA DE LEY DE DATOS PERSONALES Y ENFOQUE DE INTERESES


Por Carlos A. FERREYROS SOTO
cferreyros@hotmail.com


A. ANTECEDENTES


El enlace de la Revista América Sistemas http://www.americasistemas.com.pe/proponen-modificar-la-lpdp/ sobre el dictamen favorable de la Comisión de Constitución y Reglamento del Congreso de la República del Proyecto de Ley modificatorio del artículo 18° de la Ley 29733 Ley de Protección de Datos Personales, en adelante L-29733, modificada a su vez por el Decreto Legislativo 1353[1], en adelante D. Legis-1353, nos ofrece la ocasión de reflexionar sobre dos enfoques de interés acerca de los datos personales: uno Corporativo, el otro Inclusivo. Esta se presenta en dos partes, esta es la Primera.

Los intereses Corporativos tienen un alcance predominantemente nacional, son liderados por la Asociación de Bancos del Perú, ASBANC, vía el Grupo Parlamentario Fuerza Popular, promotor de la iniciativa legislativa. Los intereses Inclusivos, comprenden más bien intereses internacionales, ligados a una mayor integración, convergencia y globalización alrededor de una más amplia protección de datos personales pero también de circulación de los mismos.

En la Exposición de Motivos del Proyecto de Ley modificatorio del artículo 18°, que no recibió ninguna opinión ciudadana, el congresista SARMIENTO BETANCOURT, desarrolla dos ideas sobre los intereses Corporativos, contenidas en los parágrafos modificatorios del D. Legis-1353 a la L-29733, del seis de enero de 2017, apenas siete meses después de la aprobación del Decreto Ley.

La primera idea vincula el titular del banco de datos con un encargado de tratamiento (de datos personales) posterior al consentimiento, quedando el accionar de este último bajo la responsabilidad del primero, debiendo establecerse según el D. Legis-1353, un mecanismo de información  personalizado  para  el  titular  de los datos personales sobre dicho nuevo encargado de   tratamiento.  La modificatoria consistiría en retirar el complemento de la frase en color rojo por mecanismo eficaz, en color azul. Adicionando al final de la frase: que puede ser, a través de su publicación en medios físicos, virtuales u otros de similar naturaleza, que permitan al titular de los datos personales, informarse de manera oportuna y adecuada.

La segunda idea modificatoria porta sobre la transferencia de datos personales por fusión  tratamiento, adquisición de cartera, o supuestos similares, posterior al consentimientodebiendo el nuevo titular establecer un mecanismo de información eficaz - al que se refiere el precedente párrafo - para el titular de los datos personales sobre - adicionando - dicha nueva titularidad del banco de datos”. El Proyecto figura como Anexo al final de este articulo.

Ambas modificatorias, según el proponente, se justifican por:
  • generar costos adicionales que impactarían directamente al cliente[2] pues el costo asumido por las empresas (se) incrementaría para cumplir con la norma: establecer un mecanismo de información personalizado. Particularmente cuando los titulares de bancos de datos tercericen su tratamiento y deban comunicar de manera personalizada a todos los titulares de los datos personales.
  • no beneficiar al usuario,
  • generar confusión, debilitando el derecho de protección.
  • crear "barreras burocráticas".
  • incrementar información innecesaria y desproporcionada
  • no genera gastos al Estado


En términos de impacto de la norma, según los proponentes del Proyecto de ley, busca reforzar y coadyuvar al derecho a la información, la libertad de empresa y garantizar el derecho de los consumidores, contenidos en el artículo 2, inciso 5 y 6[3], artículo 59 y artículo 65[4] de la Constitución Política del Perú

Finalmente, concluye el promotor de la iniciativa, ésta se orienta a modificar puntualmente el artículo 18 de la L-29733, Ley de Protección de Datos Personales, modificada por el D.Legis-1353.

En los intereses Inclusivos, son determinantes los agentes internacionales que operan, pocos en número pero de fuerte concentración económica, tecnológica en el mundo global, particularmente, en el acopio, tratamiento, conservación, difusión, control de los datos personales,  y en su protección-mercantilización; vinculados específicamente a las:

· NBIC : (Nanotecnologías, Biotecnologías, tecnologías de la Información y ciencias Cognitivas);
·       Gobernanza Internet  y las gigantescas organizaciones que allí operan: GAFAM (Google, Apple, Facebook, Amazon Microsoft) - y la
·   Socio-economía digital (Sistemas de direccionamiento, referenciamiento de Internet, Nombres de dominio, Big Data, Data Centers, Cloud Computing, Control de Medias y de Información, Perfilamiento, Propaganda, Desinformación y Fabricación de Consensos por el Estado; Regulaciones técnicas, jurídicas, organizacionales). La convergencia e integración de estos agentes imponen nuevas formas de organización y de producción, y determinan, en países de menor grado tecnológico, Modelos y Estrategias de Desarrollo consecuentes.

Entre la dinámica de los intereses Corporativos e Inclusivos, la Unión Europea, en abril 2016 promulgó el  Reglamento General de Protección de Datos, en adelante, RGPD[5], a fin de conciliar la aparente contradicción entre protección y circulación de los datos personales, previéndose su adecuación en los veintiocho (28) países de la Unión, a partir del 25 de mayo último.

El RGPD pretende así mejorar, acentuar la protección de datos personales y hacer frente a tecnologías inexistentes en la regulación de la Directiva 95/46/CE, que este Reglamento deroga, y la libre circulación de datos personales en Europa.

Obviamente, el RGPD se ubica al centro de un doble juego de intereses: Inclusivos-extranjeros y Corporativos-nacionales, particularmente, en relación a los sobrecostos, mercantilización y seguridad necesarias en favor de los titulares de los datos e informaciones personales, como por el alcance del ámbito de aplicación material y de aplicación territorial que formula:

RGPD Articulo 2 Ámbito de aplicación Material
1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.

RGPD Articulo 3 Aplicación Territorial
"1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El RGPD se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a)  la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
El RGPD se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
3. Se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público". (Los subrayados son del autor) 


El RGPD resulta no sólo el instrumento normativo, tecnológico, organizacional, aplicable a la regulación de tecnologías a nivel global (las mismas que no necesariamente incluyen a todas las NBIC) y al tratamiento de datos personales practicado por las grandes empresas (GAFAM),  sino una herramienta de referencia en la revisión, actualización y adecuación de las normas europeas y latinoamericanas, incluyendo la peruana, relativa a la protección de los datos personales, transparencia y acceso a la información pública, interconexión e interoperabilidad, autonomía, independencia, equilibrios y contrapesos de los  organismos de administración y control, incluyendo los futuros de los Comités de Gobierno Electrónico, recientemente creados en Perú.

El RGPD se convierte así en una importante referencia para la racionalización, armonización, integración de normas vinculadas a los datos e informaciones personales como aquellas referidas al conocimiento, y al derecho de propiedad sobre estos. 

Finalmente, el RGPD contribuirá también en el Perú al replanteo de la relación del derecho con las tecnologías,  la Gobernanza de las organizaciones que operan en Internet y la socio economía digital, identificando sus perímetros de intervención y de intercambio en la Sociedad de la Información y del Conocimiento. Son estos los desafíos, que a partir de la propuesta puntual de modificatoria del artículo 18 de la L-29733 y de los cambios, integraciones y convergencias tecnológicas globales, que se producen, han atraído nuestra atención para el presente análisis.

B. ANALISIS

B.1. INTERESES COPORATIVOS
En los intereses corporativos, la modificatoria argumentada de este Proyecto de Ley, recae explícitamente en los sobrecostos, pero también en la: información innecesaria, desproporcionada, que genera confusión y debilita el derecho de protección, sin beneficiar al usuario y creando barreras burocráticas; además la aprobación de esta norma no generaría costos[6]. No obstante, en la argumentación se omitió relacionar otras normas directamente vinculadas ni otros ámbitos de impacto.


B.1.1. Sobrecostos

La noción de sobrecostos, asociada a la mercantilización de los datos personales ha sido abundantemente aludida en el Perú, pero quisiéramos recatar dos referencias: una, de 2011, a la ocasión de la concepción del Proyecto de Ley de Protección de Datos Personales, atinente al Control  administrativo por parte de la Autoridad Nacional de Protección de Datos Personales, su Mercantilización[7] y la Interoperabilidad[8]. De esa nota sólo incidiré a los sobrecostos y la mercantilización de los datos personales; los otros argumentos (Control  administrativo por parte de la Autoridad Nacional de Protección de Datos Personales e Interoperabilidad); esperan aun ser levantados[9].

El segundo argumento sobre los sobrecostos fue un comentario del 26 de marzo de 2015 - 45 días antes del vencimiento del plazo para la adecuación de la Ley de Protección de Datos Personales, el 08 de mayo - editado en el Diario "Gestión": Protección de datos personales y sobrecostos, suscrito por Francisco Baldeón del Estudio Jurídico Rodrigo, Elías & Medrano Abogados. En esa nota, el autor afirmaba que:

La ley presenta ciertos defectos que, por traer sobrecostos a las empresas, podrían ser mejorados en el tiempo

Además:
Las empresas no están autorizadas a recopilar ni a almacenar datos relativos a la comisión de delitos o de infracciones administrativas de personas naturales. Ello podría representar una desventaja para las empresas que necesitan conocer los antecedentes de las personas con quienes contratan.

Y finalmente:
La ley establece la obligación de las empresas de instalar abundantes medidas de seguridad para los bancos de datos personales (por ejemplo, controles de acceso, registros de trazabilidad, seguridad física de las instalaciones, procedimientos de recuperación, requisitos para la transferencia y generación de copias, entre otros). En algunos casos, tales medidas podrían resultar excesivas considerando el volumen del banco de datos.[10]

Era evidente según este último párrafo, que la adecuación de las instituciones a la L-29733, comportaba una serie de medidas técnicas, organizativas y legales de protección de los datos personales, as mismas que representaban un sobrecosto en la actividad de las instituciones públicas y empresas, aunque sin identificar  el quantum, cuáles de ellas, ni el volumen de datos o rubro de aquellas que serian las más expuestas, ni el tiempo en mejorarse (?). Precisamente el Artículo 18° de la L-29733, se referirá mas tarde a esta mejora, en el reconocimiento del Derecho de información del titular de datos personales[11].

Por otro lado, resultaba incomprensible a 2015, el desconocimiento aludido sobre la interpretación de la prohibición a las empresas privadas de recopilar datos personales relacionados a la comisión de delitos o infracciones administrativas.

Tanto en el primer argumento recogido de la ASBANC por el promotor del Proyecto de Ley presentado ante el Congreso y aprobado por la Comisión de Constitución y Reglamento, como en el segundo del señor Francisco Baldeón del Estudio Jurídico Rodrigo, Elías & Medrano Abogados, ambos reconocen la regulación del tratamiento de los datos personales como una carga, un sobrecosto sobre un aparente recurso de libre disposición: los datos personales. Aunque con tres diferencias importantes:

1. En el primer argumento de ASBANC, se tiene en cuenta la modificatoria del D. Legis-1353, sobre la vinculación del titular del banco de datos con un nuevo encargado del tratamiento de datos, después de expresado el consentimiento por el titular de los datos. Mientras el segundo, del señor Francisco Baldeón, no contemplaba aun esa posibilidad.

2. En el primer argumento de ASBANC, se asume que los sobrecostos incidirán en la gestión empresarial pero estos serian repercutidos en los clientes, afectándolos, al igual que a las MYPES y demás empresas - exteriorizando válidamente que ello afectaría mucho más económica y directamente a los bancos, aerolíneas, empresas de servicios básicos, como luz, agua,…[12]; y en el segundo argumento del señor Francisco Baldeón,  que ellos afectaría directamente a las empresas.

3. Finalmente, en ninguno de los dos argumentos, fue explicitada la referencia al artículo 2° de la Constitución Política del Perú sobre la representación y los derechos de la persona humana: esta representa el fin del Estado (Art.1° de la Constitución), y sus atributos (datos personales) sobre los cuales recaen derechos fundamentales deben ser asegurados en su máxima expresión, tanto en aquellos derechos privados como íntimos, y no como carga, o exclusiva materia prima de la nueva Sociedad de la Información y del Conocimiento.  

Ciertamente, ambos argumentos son comparables tratándose sólo de costos, los mismos que afectarían directamente a las empresas, o repercutidos en los clientes afectando a las MYPES y directamente a los bancos, aerolíneas, empresas de serviciobásicos, como luz, agua,…

Sobre la: información innecesaria, desproporcionada, que genera confusión y debilita el derecho de protección, sin beneficiar al usuario y creando barreras burocráticas; a las que alude los proponentes del Proyecto de Modificatoria del Articulo  18 de la L-29733, estas son meramente declarativas, no fueron demostradas.  

No fue determinable en el Proyecto la indicada información innecesaria, ni en qué consiste ésta, y cómo es que ella genera confusión y debilita el derecho de protección, si el D.Legis.-1353 preveía ya de establecer un mecanismo de información personalizado, a los titulares de la información personal, y que al pretender modificarlo por un mecanismo de información eficaz  que puede ser, a través de su publicación en medios físicos, virtuales u otros de similar naturaleza, que permitan al titular de los datos personales, informarse de manera oportuna y adecuada, se pretenda afirmar que no beneficia al usuario, peor, que se estén creando barreras burocráticas.

Finalmente, bajo la justificación de sobrecostos, y omitiendo que la falta de seguridad engendra un  mayor riesgo, se pretende modificar el mecanismo de información personalizada al usuario, por un pretendido mecanismo de información eficaz, variando la forma de notificación por envío a la forma de notificación por depósito, sin que esta sea necesariamente personal, e invirtiendo la obligación de informar del titular del banco de datos, a la obligación de informarse por los titulares de los datos e informaciones personales. En consecuencia, parte de los sobrecostos se trasladan a este último, pues el titular debe proveerse y utilizar, si no cuenta con ello, de la formación y medios para acceder a esas informaciones.

2.2. Mercantilización

Si el Proyecto aprobado por la Comisión de Constitución y Reglamento del Congreso intenta modificar el D. Legis-1353, y en última instancia el artículo 18° de la L-29733 sobre las obligaciones de las instituciones públicas y empresas privadas, previamente debemos asegurarnos del impacto sobre la coherencia y alcance de las normas que regulan los datos personales,  particularmente, en las obligaciones de las empresas privadas con las Centrales de Riesgo, y específicamente, en las Centrales de Riesgo Privadas o CEPIRS, a las cuales se aplicaría igualmente la notificación a los titulares de la información personal.

Ni en la Exposición de Motivos ni en el cuerpo Legislativo, el Proyecto aprobado menciona la institución de la Central de Riesgo Privada, CEPIRS  en la modificatoria del Art. 18 de la L-29733. Sin embargo, ambas instituciones: empresas privadas bancario-financieras y Centrales de Riesgo Privadas (CEPIRS) que tratan datos personales de riesgo están estrechamente ligadas, y  de promulgarse el Proyecto de Ley, las entidades bancario-financieras privadas como las CEPIRS a las que representa ASBANC, ambas resultarían igualmente beneficiarias de las modificatorias previstas.  Desconocemos menos las razones por las cuales en la Exposición de Motivos, el legislador no vinculó ambas empresas, representadas por la misma ASBANC.

La Central de Riesgo - pública como privada - se define como una institución de registro y suministro de información sobre el incumplimiento de obligaciones (financieras, crediticias, comerciales y de seguros) por parte de sus prestatarios. Ella fue regulada primero por la Ley 26702 o Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, SBS, en diciembre de 1996 a fin de controlar y proteger a sus usuarios.

Posteriormente su regulación se amplió, vía la Ley N° 27849, Ley que regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información(CEPIRS), en junio de 2001, modificándose en noviembre 2002 mediante la Ley N° 27863.

Algunas de las CEPIRS que acopian, tratan y difunden información respecto del comportamiento de pago de personas naturales y jurídicas son empresas como Equifax (antes Infocorp), Informa del Perú, Data Crédito, XCHANGE y Sentinel Perú, vinculadas generalmente a bancos, financieras, empresas crediticias, nacionales y extranjeras y posiblemente, comparten los datos personales de sus clientes.

Hasta aquí, podemos observa dos aspectos: uno, la acentuación de la liberalización económica entre los periodos de 1990 a 2004, fomentaron dos formas de Centrales de Riesgo, regidas por dos normas diferentes, a dos tipos de prestatarios, delineando dos diferentes enfoques cuanto al acopio, tratamiento, control, suministro y notificación de la información, la primera, prevista en la L-26702 y la segunda por la L-27849[13].

Dos, mientras la Central de Riesgos Pública, administrada por la SBS, no contemplaba explícitamente la Protección al Titular de la Información, la Central de Riesgo Privada o CEPIR, sí la previó, aunque no necesariamente asumió plenamente esta obligación. Analicemos.

·        La L-26702 en su artículo 158, organiza la Central de Riesgos de Información, bajo la égida de la SBS, institución pública, disponiendo que ésta tendrá a su cargo:

Un sistema integrado de registro de riesgos financieros, crediticios, comerciales y de seguros denominado "Central de Riesgos", el mismo que contará con información consolidada y clasificada sobre los deudores de las empresas.

Toda institución gremial que cuente con la infraestructura necesaria correspondiente podrá tener acceso a esta Central, celebrando el correspondiente convenio con la Superintendencia.

Se registrará en la Central de Riesgos, los riesgos por endeudamientos financieros y crediticios en el país y en el exterior, los riesgos comerciales en el país, los riesgos vinculados con el seguro de crédito y otros riesgos de seguro, dentro de los límites que determine la Superintendencia.
       
Ciertamente la norma comprende también el registro de:

1. (…)[14]
     2. Todo encargo fiduciario que comporte la transferencia de bienes, con la indicación de       estos últimos; lo que del mismo modo cumplirá fines de información; y
    3. Cualquier otro tipo de endeudamiento que genere riesgos crediticios adicionales para cualquier acreedor.

La información correspondiente estará a disposición de las empresas del sistema financiero      y de seguros, del Banco Central, de las empresas comerciales y de cualquier interesado en general, previo pago de las tarifas que establezca la Superintendencia. Dicha información deberá ser proporcionada en forma sistemática, integrada y oportuna.

La L-26702 comprende dos otros artículos relacionados a la obligación de las empresas de suministrar información relevante a la SBS (Art. 159)  y a la libertad de constituir personas jurídicas que tengan por objeto suministrar información sobre los antecedentes crediticos de los deudores[15], pudiendo la SBS transferir total o parcialmente al sector privado (Art. 160), la Central de Riesgos a que se refiere el artículo 158[16]. En la realidad, la SBS dividió la función y las competencias, públicas y privadas, generando un mercado de suministro de información.  

·     La L-27849 regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información, (CEPIRS) en el Título Disposiciones Generales, bajo un doble y complementario aspecto: (Art. 1º Objeto de la Ley):

1. Suministrar información de riesgos en el mercado.
2. Garantizar el respeto a los derechos de los titulares de la misma, reconocidos por la Constitución Política del Perú y la legislación vigente, promoviendo la veracidad, confidencialidad y uso apropiado de dicha información.

El primer objeto de la ley: suministro de información de riesgos en el mercado,  se asocia a un servicio intangible de prestación de información, no de un producto. Esta evidente afirmación suscita, no obstante, observaciones y dudas.

Una de las observaciones, es sí podemos referirnos a los datos personales como una mercancía? Y una de las dudas - la misma que analizaremos con más detalle más adelante auxiliándonos en  la Ley 29571 Código de Defensa y Protección del Consumidor - es que sí bien es cierto el prestatario del servicio de suministro de información es la CEPIRS, interesa  saber quién es el consumidor? El titular de los datos e informaciones personales, o todos aquellos que consultan los registros sobre ellos, es decir, toda aquella persona natural o jurídica que requiere de la publicidad de la información para evitar el riesgo crediticio, financiero?

El segundo objeto de la ley, garantiza los derechos de los titulares, persona natural o jurídica, por la Constitución y la legislación vigente, promoviendo la veracidad, confidencialidad y uso apropiado de la información. Principios recogidos posteriormente en la L-29733, y en general, expuestos bajo la forma de algunos de los derechos resultantes del artículo 2° de la Constitución Política de 1993: Derechos de la Persona a la privacidad, intimidad, imagen, voz.  

Los siguientes artículos de la L-27849, nos ayudarán a aprehender algunos otros conceptos y establecer la relación y dinámica entre estos y  sus alcances.

El Art. 2° Definiciones, delimita y caracteriza algunas nociones utilizadas en la norma. Particularmente:

a) Centrales privadas de información de riesgos (CEPIRS).- Las empresas que en locales abiertos al público y en forma habitual recolecten y traten información de riesgos relacionada con personas naturales o jurídicascon el propósito de difundir por cualquier medio mecánico o electrónico, de manera gratuita u onerosa, reportes de crédito acerca de éstas[17]. No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la administración pública que tengan a su cargo registros o bancos de datos que almacenen información con el propósito de darle publicidad con carácter general, sin importar la forma como se haga pública dicha información.

No se precisó la diferencia de alcance de la CEPIR - regulada por la SBS, organización pública que suministra información sobre riesgos crediticios y financieros y actualmente vigente - de aquellas CEPIRS privadas, ni el status de los datos personales, en cada una de ellas: información administrativa necesaria a la gestión pública o mercancía?

Un otro aspecto importante, es que el acopio y tratamiento de la información de riesgos se relaciona no sólo con informaciones de las personas naturales sino igualmente jurídicas. Pero aquí el legislador tampoco precisó  las amenazas o violaciones de derechos vulnerables. La doctrina ha identificado como informaciones personales de las instituciones y empresas: la imagen y la reputación de las mismas[18].

b) Información de riesgos.- Información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago.

(…)

h) Fuentes de acceso público.- Información que se encuentra a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, que está recogida en medios tales como censos[19], anuarios, bases de datos o registros públicos, repertorios de jurisprudencia, archivos de prensa, guías telefónicas u otros medios análogos; así como las listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

El Art. 7°.- Fuentes de información, organiza al acopio de información, de fuentes privadas como públicas, sin consentimiento del titular de la información, o adquiridas de fuentes privadas o públicas mediante contratos[20] y que no constituyan violación del secreto profesional, o que dicha información no haya sido declarada o constituya un secreto comercial o industrial[21].

La referencia en este artículo al acopio de información sin consentimiento del titular, persona natural o jurídica, constituían ya - en el tenor del art. 2° Derechos de la persona humana de la Constitución de 1993, numerales 5 y 6 - si no una violación a los derechos de la persona, al menos una amenaza y, más específicamente, a partir de la vigencia de la L-29733.

Constituían similares amenazas o infracciones en 2011, las facultades de acopiar o colectar aquellas informaciones adquiridas de fuentes privadas o públicas mediante contratos, puesto que ellas vulneraban los principios de legalidad, finalidad, proporcionalidad introducidos por L-29733, diez años después, al no haber sido actualizadas, uniformizadas ni adecuadas las normas de la L-27849, a esa norma específica. Sobre esta falta de la L-27849 en relación a la L-29733, el art. 17 de esta última, Confidencialidad de los Datos Personales, establece que no solamente:

El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes.

Sino que: Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales. Por lo tanto estarían prohibidas la cesión, transferencia, donación de banco de datos personales: - añade el art. 17 - salvo cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.

Pero tanto vía el acopio o colecta de información personal sin consentimiento, como su adquisición de fuentes públicas o privadas, la mercantilización de datos e informaciones personales se confirma mediante el art. 14 de la L-29733, al incluir equívocamente entre las limitaciones al consentimiento para el tratamiento de datos personales:

No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.

Sin embargo, esta limitación pareciera estar en  contradicción si consideramos que estos datos personales son sensibles, y por lo tanto ameritan un tratamiento especial. Si nos reportamos a la definición de Datos Sensibles señalada en el numeral 5. del art. 2 Definiciones, de la L-29733, incluye entre ellos, los ingresos económicos:

Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

El concepto de ingresos económicos subrayado expresa entonces no solamente la solvencia patrimonial sino indirectamente el crédito de una persona a las que se refiere el art. 14 de la L-29733, aun cuando su Reglamento, el Decreto Supremo Nº 003-2013-JUS omitió regular este término. En todo caso, las informaciones personales se acopiarían sólo sí éstas se relacionan a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica, según la definición de información de riesgos, literal b) art. 2 de L-27849; menudo imbroglio, y menuda incoherencia entre la norma legislativa y el silencio de la norma ejecutiva!

De otro lado, la Directiva Seguridad de la Información aprobada por R.D. N° 019-2013-JUS/DGPDP, en adelante, D-019-2013-JUS/DGPDP, cuyo objeto es garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en bancos de datos personales, mediante medidas de seguridad que protejan los bancos de datos personales conforme a la Ley  N° 29733 y su Reglamento, establece en sus Disposiciones Generales, de acuerdo a una clasificación de categorías por tratamiento y según el principio de proporcionalidad implícito, una escala de cinco niveles de seguridad: básico, simple,  intermedio, complejo y crítico, y puede incluir (Sic) en estos tres últimos, las categorías de datos sensibles, es decir, ingresos económicos. 

Y no sólo eso, sino que la seguridad por cada categoría, supone adoptar criterios que jerarquizan los bancos de datos, claro está a un mayor coste,  tomando en cuenta:

a) Volumen de registros.-
b) Número de datos
c) Periodo de tiempo para la finalidad del tratamiento de datos personales
d) La titularidad del banco de datos personales
e) Finalidad del tratamiento de datos personales respaldada por norma legal
f) Múltiple localizaciones
g) Tratamiento de datos sensibles

A esas Disposiciones Generales, la Directiva Seguridad arriba mencionada, acompaña otras Disposiciones Especificas, consistentes en Medidas de Seguridad Organizativas, Medidas de Seguridad Jurídicas y Medidas de Seguridad Técnicas, que igualmente tienen una importante repercusión en la organización, formación, regulación, tecnología, y evidentemente en la gestión y en los costos, vinculados a la infraestructura, equipos, organización, personal formado, calificado y certificado, seguridad y encriptación de la información, por no citar sino algunas rúbricas de obligatoria aplicación.

Consecuentemente, y desde el punto de vista económico, las tasas internas de retorno sobre inversión y los índices de rentabilidad son afectados, en función del modelo empresarial, dimensiones, simple o múltiple localización, …. Y ello es válido para las personas naturales y jurídicas, públicas y privadas.  En corolario la seguridad de la información tiene un costo, como igualmente pudiera tenerlo el derecho del titular de los datos personales a ser informado. 


Ello nos lleva a analizar si las alternativas de notificación propuestas al Artículo 18 de la L-29733 pueden ser satisfechas con la propuesta del Proyecto aprobado de modificación al D. Legis-1353

Las diferencias entre el Artículo 18 de la L-29733 y el D. Legis-1353, y el Proyecto de Ley N.° 1828/2017-CR que los modifican, se concentran en el tercer y cuarto parágrafo[22]:

En el tercer parágrafo se modificaría el termino de: establecer un mecanismo de información personalizado, por el de eficaz;  adicionándose, al final del párrafo: que puede ser, a través de su publicación en medios físicos, virtuales u otros de similar naturaleza, que permitan al titular de los datos personales, informarse de manera oportuna y adecuada.

En el cuarto parágrafo se introduce el  supuesto de la transferencia de datos personales bajo diversas formas, posterior al consentimiento, en esos casos, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicha nueva titularidad del banco de datos”.

En el tercer parágrafo, la idea de modificar el término: de establecer un mecanismo de información personalizado por uno eficaz, agregándose: que puede ser, a través de su publicación en medios físicos, virtuales u otros de similar naturaleza, que permitan al titular de los datos personales, informarse de manera oportuna y adecuada, entraña, al menos dos cambios fundamentales: evitar los sobrecostos relacionados a la personalización del derecho de ser informado acordado al titular de los datos personales, reduciendo la obligación del titular de los bancos de datos; e instaurando una obligación de formación, búsqueda, lectura, apertura, análisis y/o reacción de los titulares de los datos en los medios en los cuales se encuentra contenida la información.  

Además, introduce una falacia en su justificación: permitir al titular informarse de manera oportuna y adecuada. Entre el derecho de los titulares a ser informados y la obligación de disponer de los medios, formarse, buscar, leer, abrir, analizar y reaccionar ante la información recibida, particularmente  en el caso de uso de medios virtuales, no existe correspondencia de oportunidad ni de adecuación, resultan procesos más extensos y complejos que reposan en el titular de los datos.

Un caso de figura similar se presenta en las dos formas de notificación electrónica adoptadas por las autoridades públicas en el Perú, y que serían inválidas legalmente: la notificación por envío a través de un correo electrónico o clave adjudicada por la autoridad; o la notificación por depósito, ésta practicada ampliamente por el Poder Judicial, y aquella, por la SUNAT, a través de la Clave Sol, con las ventajas y desventajas de cada cual, incluyendo la variable costos. Este es otro de los instrumentos normativos que requiere ser uniformizado, sobre todo, por la exigencia de la ley, en los casos de acuse de recibo de la información-comunicación; prueba determinante en la cadena de verificación de la notificación, bajo toda modalidad[23]

En el cuarto parágrafosegún las hipótesis de formas de unión jurídica, de adquisición de carteras o supuestos similares, posteriores al consentimiento, resulta una obligación del titular de los bancos de datos, establecer un mecanismo eficaz para la información a los titulares de los datos. Es decir que puede adoptar todas las formas posibles de información señaladas para el tercer parágrafo, como proponer nuevas.  La pertinencia de esta propuesta resulta espuria.  De otro lado, los nuevos principios del RGPD, expresado en los considerandos y artículos 7[24] y 8[25], sobre el consentimiento, modificarán seguramente esta propuesta[26].

El requerimiento de consentimiento se refuerza en el RGPD, mediante el Artículo 7[27] y en el (32) Considerando del RGPD, el legislador europeo ha precisado las características del consentimiento, asociándola a la técnica del Opt-in, consistente en solicitar la autorización previa del usuario para enviarle un correo electrónico o simplemente recopilar información sobre él: 

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

El RGPD rechaza toda técnica de desestabilización o el uso de redacción demasiado vaga o confusa (uso de doble negación o incoherencias).

Hasta ahora, sin embargo, el análisis ha sido consagrado a aquellos datos e informaciones personales a partir de los cuales es posible la identificación directa, mediante los atributos identificables de las personas naturales: nombre[28], domicilio, sexo, DNI, obligaciones  o antecedentes financieros, comerciales, tributarios, laborales, de seguros[29]. Pero el examen resulta más complejo sí el acopio y tratamiento de la información se realiza sobre algunos aspectos o atributos que no permiten la identificación directa sino indirecta: la identificabilidad de la personas naturales o jurídicas a las que se refiere la segunda parte de la definición de Datos Personales, numeral 4) del art. 2 de la L-29733, y que pueden entrañar un sobrecosto mayor, por el concepto de medios razonablemente utilizados:

Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

La identificabilidad de una persona se expresa bajo dos aspectos; uno, por los atributos aislados de la persona que no permiten identificarla directamente, pero que sí es posible al adicionarse, relacionarse con otros. Dos, por medios razonables utilizados.

Los atributos personales indirectos o aislados se definen negativamente como aquellos extendidos o reconocidos oficialmente por la autoridad política, civil, comercial, industrial u otra, pero que no identifican directamente a las personas como las partidas de nacimiento, matrimonio, defunción, Registro de Comercio, Industria, Licencia de funcionamiento,…) sino por todos otros aquellos rasgos de la persona natural o jurídica que por reagrupamiento, asociación y/o correlación permiten identificarla: Ejemplo: número de DNI, sexo, domicilio, profesión, número de teléfono, correo electrónico… Este concepto debe asociarse al numeral 17 del art. 2 de la L-29733, que define la noción de Tratamiento de Datos Personales e introduce el de correlación o interconexión de los datos personales, permitiendo no sólo establecer y administrar una cadena de datos e informaciones, sino rendir identificable a una persona.

Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

El inconveniente es que los atributos personales que sirven para la identificación son regulados indirectamente por los Principio de Proporcionalidad, Finalidad, Legalidad de la L-29733 y por el uso de medios (incluyendo tecnologías) razonablemente utilizadas, a las cuales apelamos para obtener ella. 

Sobre el particular, el Código Penal Peruano, en el artículo 248.- Condicionamiento de créditos, se interesa y sanciona la entrega condicionada en contraprestaciones indebidas para el otorgamiento de un crédito, como la exigencia directa o indirecta - en los cuales podemos incluir la entrega de datos e informaciones personales - fuera de toda proporción, finalidad o legalidad de los datos.

Los directores, gerentes, administradores o funcionarios de las instituciones bancarias, financieras y demás que operan con fondos del público que condicionan, en forma directa o indirecta, el otorgamiento de créditos a la entrega por parte del usuario de contraprestaciones indebidas, serán reprimidos con pena privativa de libertad no menor de uno ni mayor de tres años y con noventa a ciento ochenta días-multa.

Además que estas contraprestaciones indebidas pueden amenazar o violar otros derechos protectores de la persona jurídica, particularmente los referidos a la propiedad intelectual, imagen o reputación, exceptuándose según la L-27849, el secreto profesional.

La identificación indirecta se relaciona entonces con los medios razonablemente utilizados previstos en el Considerando 26 de la derogada Directiva 95/46/UE[30] que sirvió de base para la transposición de ésta en la Ley 15/1999 de Protección de Datos Personales española, y que a su vez ésta Ley fuera la principal referencia para elaborar el primer borrador del Proyecto de Ley de Protección de Datos Personales peruano,  pero que ahora - de adecuarlo al actual RGPD - requiere de una consulta previa a la Autoridad de Control[31].  

Los medios pueden ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. Sí, teniendo en cuenta ese conjunto de medios, no existe esa posibilidad o ésta es intrascendente, la persona debe ser considerada como inidentificable y la información no debe catalogarse como datos personales.

Este criterio ha sido igualmente graduado en función de los principios de finalidad, proporcionalidad, legalidad, previstos de los nuevos derechos y obligaciones que el RGPD anuncia para los titulares de los datos e informaciones, titulares de los bancos de datos, encargados y responsables, en los casos de transferencias o flujo transfronterizo de datos personales.

El Artículo 7º.- Fuentes de información de la L-27849 que venimos de comentar, se relaciona con el Artículo 9º.- Lineamientos generales de recolección y tratamiento de información:

a) La recolección de información no podrá efectuarse por medios fraudulentos o ilícitos;
b) La información recolectada sólo podrá ser utilizada para los fines señalados en la presente Ley;
c) La información será lícita, exacta y veraz, de forma tal que responda a la situación real del titular de la información en determinado momento. (…) y,
d) La información será conservada durante el plazo legal establecido o, en su defecto, durante el tiempo necesario para los fines para los que fue recolectada  

Y con el Artículo 8º.- Información suministrada por los titulares, organizando la norma, la recolección de información de riesgos directamente y con el consentimiento de los titulares por las CEPIRS, previa información expresa, precisa e inequívoca de:

a) La existencia del banco de datos, la finalidad de la recolección de la información y los potenciales destinatarios de ésta;
b) La identidad y dirección de la CEPIR que recolecta la información;
c) El carácter facultativo de sus respuestas a las preguntas que le sean planteadas;
d) Las posibles consecuencias de la obtención de la información; y,
e) El alcance de los derechos desarrollados en el Título Cuarto de la presente Ley, así como de los procedimientos para hacerlos valer.
(…)

 Excluyéndose, vía el Artículo 10º.-, la:
a) Información sensible;
b) Información que viole el secreto bancario o la reserva tributaria;
c) Información inexacta o errónea;
d) Información referida al incumplimiento de obligaciones (…)
e) Sanciones? (…)
f) Insolvencia o quiebra, (…), o,
g) Cualquier otra excluida por ley.

Estos tres artículos interrelacionados a los Lineamientos generales de colecta y tratamiento de información, obligaciones de los titulares de los bancos de datos y los encargados, y sus excepciones, subrayan la ambigüedad del principio de consentimiento actual, y su fragilidad en el  cumplimiento y control de las obligaciones de información suministrada a los titulares de los datos e informaciones personales. Ergo, sin respeto del Principio de consentimiento, todo tratamiento de datos e informaciones actualmente ha devenido caduco.

La ambigüedad del Principio de consentimiento tal como es interpretado por la L-27843, estriba en la oposición entre el artículo 7° y el artículo 2°, literal h) Fuentes de acceso público, pues la supuesta información a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, recogida en (diversos) medios, y que fue declinada por sus titulares para una finalidad determinada:

a) Mandato de la administración para cumplir determinadas finalidades (Censos, jurisprudencia, u otros medios análogos, la misma que debe ser anonimizada o disociada.[32]), numeral debe ser concordado con el numeral 12. del artículo 2° de la L-29733, sobre Procedimiento de anonimización; o

b) Aquel consentimiento resultante de contratos entre particulares (Guías telefónicas o de grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo).

Además, y en ambos casos, el volumen y la especificidad de los rasgos personales se adecúa a la finalidad de los contratantes, y no puede ser colectada tal cual, en absoluto, alegando su procedencia de una fuente pública, cierto, pero acopiada para una finalidad determinada.

El artículo 7 de L-27849, debiera ser concordado sistemáticamente con el Art 7 de la L-29733, Principio de Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

Y esta ambigüedad se extiende también a la cesión: las CEPIRS pueden, facultativamente (Art. 11º.) difundir a terceras personas, onerosa o gratuitamente[33], la información de riesgos que contengan sus bancos de datos; implementar procedimientos automatizados para la transmisión, comunicación, o acceso de datos, registro obligatorio de éstos, y bajo responsabilidad, cautelar los derechos de los titulares de la información; pero mantienen un deber, obligación de seguridad (Art. 12º.-) de adoptar las medidas técnicas y administrativas para garantizar su inalteración, pérdida; tratamiento o acceso no autorizado. (La D-019-2013-JUS/DGPDP, incluirá posteriormente, la adopción de medidas legales).

La interrogante que suscitan estos artículos es: sí el hecho de variar la notificación al titular de los datos personales estableciendo en lugar de un mecanismo de información personalizado, uno eficaz;  que puede ser, a través de su publicación en medios físicos, virtuales u otros de similar naturaleza, que permitan al titular de los datos personales, informarse de manera oportuna y adecuada, pretende garantizar menos la obligación de seguridad que el sobrecosto a asumir? En principio no; la prueba es la presentación del Proyecto Modificatorio. Además, ello depende tanto de la sensibilidad del contenido del mensaje (actos administrativos o sustanciales) como de las normas técnicas, legales y organizativas adoptadas, aunque estas tienen un costo fijo o incompresible.

En el Titulo Cuarto, de la Defensa de los Titulares de la Información en General, la ley precisa en los Artículos 13º, 14º, 15º y 16º.-, 

Cuáles son los derechos de los titulares de la información (13º):
a) Acceso a la información; (14º)
b) Modificación y cancelación; (15º) y,
c) Rectificación (16º), incluyendo las formalidades, procedimientos y plazos,

 El Artículo 17º, se refiere a la Tutela jurisdiccional, la misma que ha sido organizada según sí los titulares de la información son considerados o no consumidores.

17.1 Los titulares de la información que no sean considerados consumidores para efectos del Decreto Legislativo Nº 716, Ley de Protección al Consumidor, podrán solicitar judicialmente la tutela de los derechos enunciados en este Subtítulo en la vía del proceso sumarísimo.

17.2 Para poder interponer una demanda con el fin de que se modifique, cancele o rectifique una información de riesgos que se considere ilegal, inexacta, errónea o caduca, el titular de dicha información deberá previamente obtener un pronunciamiento, expreso o tácito, denegando una solicitud de revisión o de rectificación, tramitada conforme a lo dispuesto en los Artículos 15º y 16º de la presente Ley.

En la primera argumentación del numeral 17.1, se plantea una digresión interesante sobre si los titulares de la información son o no considerados consumidores? Pero previamente analicemos la definición de consumidor.

La Ley 29571, en adelante L-29571, Código de  Protección y Defensa del Consumidor Artículo IV.- Definiciones, para los efectos del presente Código, entiende por: 1. Consumidores o usuarios :

1.1 Las personas naturales o jurídicas que adquieren, utilizan o disfrutan como destinatarios finales productos o servicios materiales e inmateriales(El subrayado es del autor) en beneficio propio o de su grupo familiar o social, actuando así en un ámbito ajeno a una actividad empresarial o profesional. No se considera consumidor para efectos de este Código a quien adquiere, utiliza o disfruta de un producto o servicio normalmente destinado para los fines de su actividad como proveedor.

La duda no estriba entre aquellos que son titulares de los bancos de datos, Central de Riesgos Privada - en soporte físico o digital - y aquellos que lo consultan, sino en sí los titulares de los datos son realmente consumidores y sujetos a la tutela jurisdiccional?

Según la definición, los consumidores son aquellos que  adquieren, utilizan o disfrutan como destinatarios finales productos o servicios materiales e inmateriales, es decir, todos quienes acceden a servicios inmateriales (informaciones personales, propias o de terceros). Pero a mi parecer no es esa la finalidad primera atribuida a los titulares de los datos, sino a aquellos que desean conocer, disminuir o eliminar los riesgos bancarios, financieros. Según esta argumentación las CEPIRS serian los proveedores, y aquellos que consultan esas informaciones, los consumidores, no los titulares de los datos e informaciones personales.

A pesar de ello, la ley ha atribuido al titular de las informaciones personales el carácter de consumidor, y en la aplicabilidad del Artículo 17º, estos podrán(17.2.):

Interponer una demanda con el fin de que se modifique, cancele o rectifique una información de riesgos que se considere ilegal, inexacta, errónea o caduca, el titular de dicha información deberá previamente obtener un pronunciamiento, expreso o tácito, denegando una solicitud de revisión o de rectificación, tramitada conforme a lo dispuesto en los Artículos 15º y 16º de la presente Ley.

Una primera observación sobre ello nos conduce al deber de identificar las obligaciones de los titulares o encargados de los bancos de datos, y al establecimiento de procedimientos de verificación, sencillos, claros, transparentes en favor del titular.

Una segunda observación, a la expedición de pronunciamientos de solicitudes, no sólo de revisión, rectificación - como precisa el numeral - sino sobre los derechos de los titulares de los datos e informaciones personales de: cancelación y oposición que nos propone la L-29733; y los derechos al olvido, borrado, error, transparencia, a saber, a ser comunicado, al desreferenciamiento, a la portabilidad, a la conservación, a la transferencia, que regula el actual RGPD y que obligará a la adaptación de las normas nacionales, como fuente doctrinaria y legislativa, particularmente, por el alcance del Articulo 3 Ámbito territorial del RGPD[34] en el Perú.

Y una tercera observación, se refiere a  la expedición de estos pronunciamientos gratuitamente - no sólo de visualización en pantalla sino emisión del documento correspondiente - en soporte papel o electrónica y oportunamente. Si las CEPIRS incumplen los derechos, procedimientos y plazos previstos en el artículo 15° Derecho de modificación y derecho de cancelaciónde la L-27849, quizás sea idónea la expedición de una norma semejante a la de silencio administrativo negativo en la función pública.

En la segunda argumentación del Artículo 17°, (17.1.), los consumidores podrán solicitar judicialmente la tutela de los derechos enunciados en este Subtítulo en la vía del proceso sumarísimo. Pero cuáles son ellos: derecho de modificación, de cancelación o rectificación, y el de acceso? Si tenemos como referencia los derechos ARCO, previstos en la L-29733, Acceso, Rectificación, Cancelación, Oposición, el numeral no los enuncia todos, ni el alcance de cada cual.

Consecuentemente, el Artículo 17, deja fuera de la Tutela Jurisdiccional, la defensa integral del Derecho de Acceso previsto en el Art. 14°, puesto que sólo menciona un implícito acceso reconocido en la L-27849, reducido a un acceso anual a la información crediticia que les concierne, registrada en los bancos de datos administrados por las CEPIRS, o cuando la información contenida en los bancos de datos haya sido objeto de rectificación. Este derecho es de mayor amplitud en la L-29733[35], e incluye otros derechos: actualización, inclusión.

Cuanto a la responsabilidad civil y penal, el Artículo 18º, propone dos escenarios: primero, el relativo a la responsabilidad civil objetiva de las CEPIRS por los daños ocasionados al titular de la información por efecto de tratamiento o difusión de la información. La misma que las CEPIRS podrán repetir contra las fuentes proveedores de información cuando el daño sea ocasionado como consecuencia del tratamiento de información realizado por éstas. La responsabilidad civil objetiva es regulada por el Art. 1970º del Código Civil:

Aquel que mediante un bien riesgoso o peligroso, o por el ejercicio de una actividad riesgosa o peligrosa, causa un daño a otro, está obligado a repararlo.

La Segunda, corresponde a la responsabilidad de los usuarios o receptores de la información proporcionada por las CEPIRS en caso de uso indebido, fraudulento o de modo que cause daños al titular de la información, la misma que se determinará conforme a  las normas de responsabilidad civil y penal a que hubiere lugar. No se menciona el error, el dolo o la negligencia causada por las CEPIRS, en caso de cesión o transferencia a terceros.

Finalmente, el Título Quinto De la Defensa de los Consumidores en Especial, contiene cinco artículos, del 19º.- al 23º.-, destinados a la Defensa de los Consumidores, Infracciones, Competencia para el conocimiento de las mismas, Medidas y Ejecución de Medidas Correctivas.

El Artículo 19º.- Defensa de los consumidores, regula dos aspectos:

Uno, las disposiciones contenidas en el presente Título son de aplicación a las disputas que surjan entre las CEPIRS y los titulares de la información;
Dos: los titulares de la información son considerados consumidores por mandato de la presente Ley, para efectos de la aplicación de lo dispuesto por el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.

En el primero, el legislador omitió pronunciarse sobre todos aquellos, parte de la relación jurídica, que consultan, acceden a los bancos de datos y que no son ni los proveedores de datos CEPIRS, ni titulares de los mismos.

En el segundo, el artículo impone el estatuto de consumidor o usuario a la persona natural o jurídica, el mismo que fue modificado en junio de 2008, eximiendo a las personas jurídicas,  pero reconociendo la mercantilización de la información como la asimetría informativa[36].

Cuanto a la mercantilización, las Centrales privadas de información de riesgos (CEPIRS), tal como han sido definidas en el literal a) del Articulo 2 de la Ley 27849, pueden recolectar y tratar información de riesgos de consumidores o usuarios sin consentimiento del titular y sin que exista necesariamente un contrato de servicios de crédito o finanzas; tratando (los datos e) informaciones de éstos como una mercancía.

El Artículo 20º.- se refiere a las Infracciones, consideradas como administrativas, de las cuales son objetivamente responsables las CEPIRS, y aplicables a la denegación de los derechos previstos en los artículos 14° al 16°: Derechos de Acceso, Modificación y Cancelación y Rectificación. Incluyendo la responsabilidad que pudiera corresponder a las fuentes de las que se hubiera colectado información, de ser el caso, conforme a las disposiciones contenidas en el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.

La Competencia para el conocimiento de las infracciones, prevista en el Art. 21°, recae en la Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) órgano administrativo competente para conocer de las infracciones tipificadas en el Art. 20, e imponer las sanciones administrativas y las medidas correctivas a las que hubiere lugar.

A través de este artículo, el legislador crea una primera Autoridad competente para el conocimiento de las infracciones vinculada a los datos o informaciones personales, subordinada a INDECOPI, dependiente de la Presidencia del Consejo de Ministros, Poder Ejecutivo, la misma que duplicará y ampliará años más tarde con una segunda Autoridad Nacional de Protección de Datos Personales, creada por la L-29733, dependiente del Ministerio de Justicia y Derechos Humanos, dependiente del Poder Ejecutivo, igualmente, sin cuestionarse sobre la validez, vigencia y vinculación de ambas instituciones sobre los datos e informaciones personales.

Cuanto a las Medidas Correctivas, Art22°, a imponerse por la Comisión de INDECOPI referida en el artículo anterior: modificación, cancelación, rectificación y/o actualización, estas pueden serlo sin perjuicio  de las sanciones administrativas  a que hubiere lugar, incluyendo las sanciones a las fuentes proveedoras de información que incurran en infracción.

Entendemos que las sanciones administrativas son aquellas previstas en la Ley del Procedimiento Administrativo N° 27444. Según esta norma, la habilitación legal a la Administración para dictar medidas correctivas ha sido prevista en el numeral 232.1, cuyo tenor es el siguiente:

Las sanciones administrativas que se impongan al administrado son compatibles con la exigencia de la reposición de la situación alterada por el mismo a su estado anteriorasí como con la indemnización por los daños y perjuicios ocasionados, los que serán determinados en el proceso judicial correspondiente.

En consecuencia, el afectado podrá obtener de la parte administrativa la sanción de reponer la información al estado anterior de la situación alterada. Sin embargo, el concepto de reposición en derecho informático no es sinónimo de actualización, de invertir el status de deudor a no deudor, o de  registro de deudor y cancelación de deuda, ergo, al ejercicio del derecho al olvido o de borrado de toda información que le concierne, según las nuevos derechos acotados en el RGPD a toda persona humana, señalados líneas arriba. Además, mientras no se reponga realmente la información, la falta o delito deviene continuo, y los daños sobre la imagen y reputación de la persona, no se expresan necesariamente en dinero.

Por último, el  Art. 23° Ejecución de Medidas Correctivas, prevé dos consecuencias: una, las resoluciones finales que ordenen medidas correctivas, una vez consentidas o que causen estado en la vía administrativa, constituyen títulos de ejecución; y dos, en caso de resoluciones finales que ordenen medidas correctivas a favor de consumidores afectados por la infracción administrativa, la legitimidad para obrar en los procesos civiles de ejecución corresponde a los mencionados consumidores.

Del Quinto Titulo referido a la Defensa de los Consumidores, podemos  extraer algunas reflexiones, unas, atinentes a la discutible atribución de  status de consumidor y/o usuario al titular de los datos e informaciones personales; otras, relacionadas a derechos internacionales omitidos que figuran como derechos humanos de tercera generación y no necesariamente referidos ni incluidos en ese Titulo, entre ellos:

·        La protección contra los riesgos que puedan afectar la salud o seguridad de los titulares sobre la información personal (Reducción de medidas por sobrecostos, por ejemplo).
·        La protección de legítimos intereses económicos y sociales de los titulares de la información personal; en particular frente a las prácticas comerciales desleales y la inclusión de cláusulas abusivas en los contratos.
·        La indemnización de los daños y la reparación de los perjuicios sufridos.
·        La información correcta sobre los diferentes bienes o servicios y la educación y divulgación para facilitar el conocimiento sobre su adecuado uso, consumo o disfrute.
·        La audiencia en consulta, la participación en el procedimiento de elaboración de las disposiciones generales que les afectan directamente y la representación de sus intereses, a través de asociaciones, agrupaciones, federaciones o confederaciones de consumidores y usuarios legalmente constituidas.
·        La protección de sus derechos mediante procedimientos eficaces, en especial ante situaciones de inferioridad, subordinación e indefensión.

SEGUNDA PARTE