Por Carlos A. FERREYROS SOTO
cferreyros@hotmail.com
A. ANTECEDENTES
El enlace de la Revista América Sistemas http://www.americasistemas.com.pe/proponen-modificar-la-lpdp/ sobre
el dictamen favorable de la Comisión de Constitución y Reglamento del Congreso
de la República del Proyecto de Ley modificatorio del artículo 18° de la Ley
29733 Ley de Protección de Datos Personales, en adelante L-29733, modificada a
su vez por el Decreto Legislativo 1353[1],
en adelante D. Legis-1353, nos ofrece la ocasión de reflexionar sobre dos
enfoques de interés acerca de los datos personales: uno Corporativo,
el otro Inclusivo.
Esta se presenta en dos partes, esta es la Primera.
Los intereses Corporativos tienen un alcance
predominantemente nacional, son liderados por la Asociación de Bancos
del Perú, ASBANC, vía el Grupo Parlamentario Fuerza Popular, promotor de la
iniciativa legislativa. Los intereses Inclusivos, comprenden
más bien intereses internacionales, ligados a una mayor integración,
convergencia y globalización alrededor de una más amplia protección de datos
personales pero también de circulación de los mismos.
En la Exposición de Motivos del Proyecto de Ley
modificatorio del artículo 18°, que no recibió ninguna opinión ciudadana, el
congresista SARMIENTO BETANCOURT, desarrolla dos ideas sobre los
intereses Corporativos, contenidas en los parágrafos modificatorios
del D. Legis-1353 a la L-29733, del seis de enero de 2017, apenas siete meses
después de la aprobación del Decreto Ley.
La primera
idea vincula el titular del banco de datos con un encargado de
tratamiento (de datos personales) posterior al consentimiento, quedando el
accionar de este último bajo la responsabilidad del primero, debiendo
establecerse según el D. Legis-1353, un mecanismo de
información personalizado para el titular de los
datos personales sobre dicho nuevo encargado de tratamiento. La
modificatoria consistiría en retirar el complemento de la frase en color rojo
por mecanismo eficaz, en color azul. Adicionando al final
de la frase: que puede ser, a través de su publicación en medios
físicos, virtuales u otros de similar naturaleza, que permitan al titular de
los datos personales, informarse de manera oportuna y adecuada.
La segunda
idea modificatoria porta sobre la transferencia de datos
personales por fusión tratamiento, adquisición de cartera, o
supuestos similares, posterior al consentimiento, debiendo
el nuevo titular establecer un mecanismo de información eficaz - al
que se refiere el precedente párrafo - para el titular de los datos personales
sobre - adicionando - dicha nueva titularidad del banco de datos”.
El Proyecto figura como Anexo al final de este articulo.
Ambas modificatorias, según el proponente, se justifican por:
- generar costos adicionales que impactarían directamente al cliente[2] pues el costo asumido por las empresas (se) incrementaría para cumplir con la norma: establecer un mecanismo de información personalizado. Particularmente cuando los titulares de bancos de datos tercericen su tratamiento y deban comunicar de manera personalizada a todos los titulares de los datos personales.
- no beneficiar al usuario,
- generar confusión, debilitando el derecho de protección.
- crear "barreras burocráticas".
- incrementar información innecesaria y desproporcionada
- no genera gastos al Estado
En términos de impacto de la norma, según los proponentes del Proyecto de
ley, busca reforzar y coadyuvar al derecho a la información, la
libertad de empresa y garantizar el derecho de los consumidores, contenidos en
el artículo 2, inciso 5 y 6[3],
artículo 59 y artículo 65[4] de
la Constitución Política del Perú.
Finalmente, concluye el promotor de la iniciativa, ésta se
orienta a modificar puntualmente el artículo 18 de la L-29733,
Ley de Protección de Datos Personales, modificada por el D.Legis-1353.
En los intereses Inclusivos, son determinantes los
agentes internacionales que operan, pocos en número pero de fuerte
concentración económica, tecnológica en el mundo global, particularmente, en el
acopio, tratamiento, conservación, difusión, control de los datos personales, y
en su protección-mercantilización; vinculados específicamente a las:
· NBIC : (Nanotecnologías, Biotecnologías, tecnologías de la Información
y ciencias Cognitivas);
· Gobernanza Internet y
las gigantescas organizaciones que allí operan: GAFAM (Google, Apple, Facebook,
Amazon Microsoft) - y la
· Socio-economía digital (Sistemas de
direccionamiento, referenciamiento de Internet, Nombres de dominio, Big Data,
Data Centers, Cloud Computing, Control de Medias y de Información,
Perfilamiento, Propaganda, Desinformación y Fabricación de Consensos por
el Estado; Regulaciones técnicas, jurídicas, organizacionales). La
convergencia e integración de estos agentes imponen nuevas formas de
organización y de producción, y determinan, en países de menor grado
tecnológico, Modelos y Estrategias de Desarrollo consecuentes.
Entre la dinámica de los intereses Corporativos e Inclusivos,
la Unión Europea, en abril 2016 promulgó el Reglamento General de
Protección de Datos, en adelante, RGPD[5],
a fin de conciliar la aparente contradicción entre protección y circulación de
los datos personales, previéndose su adecuación en los veintiocho (28) países
de la Unión, a partir del 25 de mayo último.
El RGPD pretende así mejorar, acentuar la protección de datos personales y
hacer frente a tecnologías inexistentes en la regulación de la Directiva 95/46/CE,
que este Reglamento deroga, y la libre circulación de datos personales en
Europa.
Obviamente, el RGPD se ubica al centro de un doble juego de
intereses: Inclusivos-extranjeros y Corporativos-nacionales,
particularmente, en relación a los sobrecostos, mercantilización y seguridad
necesarias en favor de los titulares de los datos e informaciones personales,
como por el alcance del ámbito de aplicación material y de aplicación
territorial que formula:
RGPD Articulo 2 Ámbito de aplicación Material
1. El presente Reglamento se aplica al tratamiento total o
parcialmente automatizado de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos en un
fichero.
2. El presente Reglamento no se aplica:
a) en el ejercicio de una actividad no comprendida en el ámbito de
aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades
comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales, o de
ejecución de sanciones penales, incluida la de protección frente a amenazas a
la seguridad pública y su prevención.
3. El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de
datos de carácter personal por parte de las instituciones, órganos y organismos
de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión
aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los
principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación
de la Directiva 2000/31/CE, en particular sus normas relativas a la
responsabilidad de los prestadores de servicios intermediarios establecidas en
sus artículos 12 a 15.
RGPD Articulo 3 Aplicación
Territorial
"1. El presente Reglamento se aplica al tratamiento de datos
personales en el contexto de las actividades de un establecimiento del
responsable o del encargado en la Unión, independientemente de que el
tratamiento tenga lugar en la Unión o no.
2. El RGPD se aplica al
tratamiento de datos personales de interesados que residan en la Unión por
parte de un responsable o encargado no establecido en la Unión, cuando las
actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en
que este tenga lugar en la Unión.
El RGPD se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
El RGPD se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
3. Se aplica al tratamiento de datos personales por parte de un responsable
que no esté establecido en la Unión sino en un lugar en que el Derecho de los
Estados miembros sea de aplicación en virtud del Derecho internacional
público". (Los subrayados son del autor)
El RGPD resulta no sólo el instrumento normativo,
tecnológico, organizacional, aplicable a la regulación de tecnologías a nivel
global (las mismas que no necesariamente incluyen a todas las NBIC) y al
tratamiento de datos personales practicado por las grandes empresas
(GAFAM), sino una herramienta de referencia en la revisión, actualización
y adecuación de las normas europeas y latinoamericanas, incluyendo la peruana,
relativa a la protección de los datos personales, transparencia y acceso a la
información pública, interconexión e interoperabilidad, autonomía, independencia,
equilibrios y contrapesos de los organismos de administración y
control, incluyendo los futuros de los Comités de Gobierno Electrónico,
recientemente creados en Perú.
El RGPD se convierte así en una importante referencia para la
racionalización, armonización, integración de normas vinculadas a los datos e
informaciones personales como aquellas referidas al conocimiento, y al derecho
de propiedad sobre estos.
Finalmente, el RGPD contribuirá también en el Perú al replanteo de la
relación del derecho con las tecnologías, la Gobernanza de las
organizaciones que operan en Internet y la socio economía digital,
identificando sus perímetros de intervención y de intercambio en la Sociedad de
la Información y del Conocimiento. Son estos los desafíos, que a partir de la
propuesta puntual de modificatoria del artículo 18 de la L-29733 y de los
cambios, integraciones y convergencias tecnológicas globales, que se producen, han
atraído nuestra atención para el presente análisis.
B. ANALISIS
B.1. INTERESES COPORATIVOS
En los intereses corporativos, la modificatoria argumentada de
este Proyecto de Ley, recae explícitamente en los sobrecostos, pero también en
la: información innecesaria, desproporcionada, que genera confusión y
debilita el derecho de protección, sin beneficiar al usuario y creando barreras
burocráticas; además la aprobación de esta norma no generaría costos[6].
No obstante, en la argumentación se omitió relacionar otras normas directamente
vinculadas ni otros ámbitos de impacto.
B.1.1. Sobrecostos
La noción de sobrecostos, asociada a la mercantilización de los datos
personales ha sido abundantemente aludida en el Perú, pero quisiéramos recatar
dos referencias: una, de 2011, a la ocasión de la concepción
del Proyecto de Ley de Protección de Datos Personales, atinente al Control administrativo
por parte de la Autoridad Nacional de Protección de Datos Personales, su
Mercantilización[7] y
la Interoperabilidad[8].
De esa nota sólo incidiré a los sobrecostos y la mercantilización de los datos
personales; los otros argumentos (Control administrativo por
parte de la Autoridad Nacional de Protección de Datos Personales e
Interoperabilidad); esperan aun ser levantados[9].
El segundo argumento sobre los sobrecostos fue un
comentario del 26 de marzo de 2015 - 45 días antes del vencimiento del plazo
para la adecuación de la Ley de Protección de Datos Personales, el 08 de mayo -
editado en el Diario "Gestión": Protección de datos personales y
sobrecostos, suscrito por Francisco Baldeón del Estudio Jurídico Rodrigo, Elías & Medrano Abogados. En esa nota, el
autor afirmaba que:
La ley presenta ciertos defectos que, por traer sobrecostos a las empresas,
podrían ser mejorados en el tiempo.
Además:
Las empresas no están autorizadas a recopilar ni a almacenar datos
relativos a la comisión de delitos o de infracciones administrativas de
personas naturales. Ello podría representar una desventaja para las empresas
que necesitan conocer los antecedentes de las personas con quienes contratan.
Y finalmente:
La ley establece la obligación de las empresas de instalar
abundantes medidas de seguridad para los bancos de datos personales (por
ejemplo, controles de acceso, registros de trazabilidad, seguridad física de
las instalaciones, procedimientos de recuperación, requisitos para la
transferencia y generación de copias, entre otros). En algunos casos, tales
medidas podrían resultar excesivas considerando el volumen del banco de datos.[10]
Era evidente según este último párrafo, que la adecuación de las
instituciones a la L-29733, comportaba una serie de medidas técnicas,
organizativas y legales de protección de los datos personales, as mismas que representaban
un sobrecosto en la actividad de las instituciones públicas y empresas, aunque
sin identificar el quantum,
cuáles de ellas, ni el volumen de datos o rubro de aquellas que serian las más
expuestas, ni el tiempo en mejorarse (?). Precisamente el Artículo 18° de la
L-29733, se referirá mas tarde a esta mejora, en el reconocimiento del Derecho
de información del titular de datos personales[11].
Por otro lado, resultaba incomprensible a 2015, el desconocimiento aludido
sobre la interpretación de la prohibición a las empresas privadas de recopilar
datos personales relacionados a la comisión de delitos o infracciones
administrativas.
Tanto en el primer argumento recogido de la ASBANC por el promotor del
Proyecto de Ley presentado ante el Congreso y aprobado por la Comisión de
Constitución y Reglamento, como en el segundo del señor Francisco
Baldeón del Estudio Jurídico Rodrigo, Elías & Medrano Abogados, ambos
reconocen la regulación del tratamiento de los datos personales
como una carga, un sobrecosto sobre un aparente recurso de libre disposición:
los datos personales. Aunque con tres diferencias importantes:
1. En el primer argumento de ASBANC, se tiene en cuenta la modificatoria
del D. Legis-1353, sobre la vinculación del titular del banco de datos con un
nuevo encargado del tratamiento de datos, después de expresado el
consentimiento por el titular de los datos. Mientras el segundo, del
señor Francisco
Baldeón, no
contemplaba aun esa posibilidad.
2. En el primer argumento de ASBANC, se asume que los sobrecostos incidirán
en la gestión empresarial pero estos serian repercutidos en los clientes, afectándolos, al igual que
a las MYPES y demás empresas - exteriorizando
válidamente que ello afectaría mucho más económica y directamente a los bancos,
aerolíneas, empresas de servicios básicos, como luz, agua,…[12]; y en el segundo argumento
del señor Francisco
Baldeón, que
ellos afectaría directamente a las empresas.
3. Finalmente, en ninguno de los dos argumentos, fue explicitada la
referencia al artículo 2° de la Constitución Política del Perú sobre la
representación y los derechos de la persona humana: esta representa el fin del
Estado (Art.1° de la Constitución), y sus atributos (datos personales) sobre
los cuales recaen derechos fundamentales deben ser asegurados en su máxima
expresión, tanto en aquellos derechos privados como íntimos, y no como carga, o
exclusiva materia prima de la nueva Sociedad de la Información y del Conocimiento.
Ciertamente, ambos argumentos son comparables tratándose sólo de costos,
los mismos que afectarían directamente a las empresas, o repercutidos en los
clientes afectando a las MYPES y directamente a los bancos, aerolíneas, empresas de serviciobásicos, como luz, agua,…
Sobre la: información innecesaria, desproporcionada, que genera
confusión y debilita el derecho de protección, sin beneficiar al usuario y
creando barreras burocráticas; a las que alude los proponentes del
Proyecto de Modificatoria del Articulo 18 de la L-29733, estas son
meramente declarativas, no fueron demostradas.
No fue determinable en el Proyecto la indicada información
innecesaria, ni en qué consiste ésta, y cómo es que ella genera confusión
y debilita el derecho de protección, si el D.Legis.-1353 preveía ya
de establecer un mecanismo de información personalizado, a los titulares
de la información personal, y que al pretender modificarlo por un mecanismo de
información eficaz que puede
ser, a través de su publicación en medios físicos, virtuales u otros de similar
naturaleza, que permitan al titular de los datos personales, informarse de
manera oportuna y adecuada, se pretenda afirmar que no beneficia al usuario, peor, que se
estén creando barreras burocráticas.
Finalmente, bajo la justificación de sobrecostos, y omitiendo que la falta
de seguridad engendra un mayor riesgo,
se pretende modificar el mecanismo de información personalizada al usuario, por
un pretendido mecanismo de información eficaz, variando la forma de notificación
por envío a la forma de notificación por depósito, sin que esta
sea necesariamente personal, e invirtiendo la obligación de informar del
titular del banco de datos, a la obligación de informarse por los titulares de
los datos e informaciones personales. En consecuencia, parte de los sobrecostos
se trasladan a este último, pues el titular debe proveerse y utilizar, si no
cuenta con ello, de la formación y medios para acceder a esas informaciones.
2.2. Mercantilización
Si el Proyecto aprobado por la Comisión de Constitución y Reglamento del
Congreso intenta modificar el D. Legis-1353, y en última instancia el artículo
18° de la L-29733 sobre las obligaciones de las instituciones públicas y
empresas privadas, previamente debemos asegurarnos del impacto sobre la coherencia
y alcance de las normas que regulan los datos
personales, particularmente, en las obligaciones de las empresas
privadas con las Centrales de Riesgo, y específicamente, en las Centrales de
Riesgo Privadas o CEPIRS, a las cuales se aplicaría igualmente la notificación
a los titulares de la información personal.
Ni en la Exposición de Motivos ni en el cuerpo Legislativo, el Proyecto
aprobado menciona la institución de la Central de Riesgo Privada,
CEPIRS en la modificatoria del Art. 18 de la L-29733. Sin embargo,
ambas instituciones: empresas privadas bancario-financieras y Centrales de
Riesgo Privadas (CEPIRS) que tratan datos personales de riesgo están
estrechamente ligadas, y de promulgarse el Proyecto de Ley, las
entidades bancario-financieras privadas como las CEPIRS a las que representa
ASBANC, ambas resultarían igualmente beneficiarias de las modificatorias
previstas. Desconocemos menos las razones por las cuales en la
Exposición de Motivos, el legislador no vinculó ambas empresas, representadas
por la misma ASBANC.
La Central de Riesgo - pública como privada - se define como una
institución de registro y suministro de información sobre el
incumplimiento de obligaciones (financieras, crediticias, comerciales y
de seguros) por parte de sus prestatarios. Ella fue regulada primero por la Ley 26702 o Ley General del
Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia
de Banca y Seguros, SBS, en diciembre de 1996 a fin de controlar y proteger a
sus usuarios.
Posteriormente su regulación se amplió, vía la Ley N° 27849, Ley que regula las Centrales Privadas de Información de
Riesgos y de Protección al Titular de la Información, (CEPIRS), en junio de 2001, modificándose en noviembre 2002 mediante
la Ley N° 27863.
Algunas de las CEPIRS que
acopian, tratan y difunden información respecto del comportamiento de pago de
personas naturales y jurídicas son empresas como Equifax (antes Infocorp),
Informa del Perú, Data Crédito, XCHANGE y Sentinel Perú, vinculadas
generalmente a bancos, financieras, empresas crediticias, nacionales y
extranjeras y posiblemente, comparten los datos personales de sus clientes.
Hasta aquí, podemos observa dos aspectos: uno, la acentuación
de la liberalización económica entre los periodos de 1990 a 2004, fomentaron
dos formas de Centrales de Riesgo, regidas por dos normas diferentes, a dos
tipos de prestatarios, delineando dos diferentes enfoques cuanto al acopio,
tratamiento, control, suministro y notificación de la información, la primera,
prevista en la L-26702 y la segunda por la L-27849[13].
Dos, mientras la Central de Riesgos
Pública, administrada por la SBS, no contemplaba explícitamente la Protección al Titular de la
Información, la Central
de Riesgo Privada o CEPIR, sí la previó, aunque no necesariamente asumió
plenamente esta obligación. Analicemos.
· La L-26702 en su artículo 158, organiza
la Central de Riesgos de Información, bajo la égida de la SBS, institución
pública, disponiendo que ésta tendrá a su cargo:
Un sistema
integrado de registro de riesgos financieros, crediticios, comerciales y de
seguros denominado "Central de Riesgos", el mismo que contará con
información consolidada y clasificada sobre los deudores de las empresas.
Toda
institución gremial que cuente con la infraestructura necesaria correspondiente
podrá tener acceso a esta Central, celebrando el correspondiente convenio con
la Superintendencia.
Se registrará
en la Central de Riesgos, los riesgos por endeudamientos financieros y
crediticios en el país y en el exterior, los riesgos comerciales en el país,
los riesgos vinculados con el seguro de crédito y otros riesgos de seguro,
dentro de los límites que determine la Superintendencia.
Ciertamente la norma comprende también el registro de:
1. (…)[14]
2. Todo encargo fiduciario que comporte la
transferencia de bienes, con la indicación
de estos últimos; lo que del mismo
modo cumplirá fines de información; y
3. Cualquier otro tipo de endeudamiento que genere
riesgos crediticios adicionales para cualquier acreedor.
La
información correspondiente estará a disposición de las empresas del sistema
financiero y de seguros, del Banco Central,
de las empresas comerciales y de cualquier interesado en general, previo pago
de las tarifas que establezca la Superintendencia. Dicha información deberá ser
proporcionada en forma sistemática, integrada y oportuna.
La L-26702 comprende dos otros artículos relacionados a la obligación de
las empresas de suministrar información relevante a la SBS (Art.
159) y a la libertad de constituir personas jurídicas que tengan por
objeto suministrar información sobre los antecedentes crediticos de los
deudores[15],
pudiendo la SBS transferir total o parcialmente al sector
privado (Art. 160), la Central de Riesgos a que se refiere el artículo 158[16]. En la realidad, la SBS dividió
la función y las competencias, públicas y privadas, generando un mercado de
suministro de información.
· La L-27849 regula las
Centrales Privadas de Información de Riesgos y de Protección al Titular de la
Información, (CEPIRS) en
el Título Disposiciones Generales, bajo un doble y complementario aspecto: (Art.
1º Objeto de la Ley):
1. Suministrar información de riesgos en
el mercado.
2. Garantizar el respeto a los derechos
de los titulares de la misma, reconocidos por la Constitución Política del Perú
y la legislación vigente, promoviendo la veracidad, confidencialidad y
uso apropiado de dicha información.
El primer objeto de la ley: suministro de información de
riesgos en el mercado, se asocia a un servicio intangible de
prestación de información, no de un producto. Esta evidente afirmación
suscita, no obstante, observaciones y dudas.
Una de las observaciones, es sí podemos referirnos a los datos personales
como una mercancía? Y una de las dudas - la misma que analizaremos con más
detalle más adelante auxiliándonos en la Ley 29571 Código de
Defensa y Protección del Consumidor - es que sí bien es cierto el prestatario
del servicio de suministro de información es la CEPIRS,
interesa saber quién es el consumidor? El titular de los datos e
informaciones personales, o todos aquellos que consultan los registros sobre
ellos, es decir, toda aquella persona natural o jurídica que requiere de la
publicidad de la información para evitar el riesgo crediticio, financiero?
El segundo objeto de la ley, garantiza los derechos de los
titulares, persona natural o jurídica, por la Constitución y la legislación
vigente, promoviendo la veracidad, confidencialidad y uso
apropiado de la información. Principios recogidos posteriormente en la L-29733,
y en general, expuestos bajo la forma de algunos de los derechos resultantes
del artículo 2° de la Constitución Política de 1993: Derechos de la Persona a
la privacidad, intimidad, imagen, voz.
Los siguientes artículos de la L-27849, nos ayudarán a
aprehender algunos otros conceptos y establecer la relación y dinámica entre
estos y sus alcances.
El Art. 2° Definiciones, delimita y caracteriza
algunas nociones utilizadas en la norma. Particularmente:
a) Centrales
privadas de información de riesgos (CEPIRS).- Las empresas que en locales
abiertos al público y en forma habitual recolecten y traten información
de riesgos relacionada con personas naturales o jurídicas, con
el propósito de difundir por cualquier medio mecánico o electrónico, de manera
gratuita u onerosa, reportes de crédito acerca de éstas[17].
No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la
administración pública que tengan a su cargo registros o bancos de datos que
almacenen información con el propósito de darle publicidad con carácter
general, sin importar la forma como se haga pública dicha información.
No se precisó la diferencia de alcance de la CEPIR - regulada por la SBS,
organización pública que suministra información sobre riesgos crediticios y
financieros y actualmente vigente - de aquellas CEPIRS privadas, ni el status de
los datos personales, en cada una de ellas: información administrativa necesaria
a la gestión pública o mercancía?
Un otro aspecto importante, es que el acopio y tratamiento de la
información de riesgos se relaciona no sólo con informaciones de las personas
naturales sino igualmente jurídicas. Pero aquí el legislador tampoco
precisó las amenazas o violaciones de derechos vulnerables. La
doctrina ha identificado como informaciones personales de las instituciones y
empresas: la imagen y la reputación de las mismas[18].
b) Información de riesgos.- Información relacionada a
obligaciones o antecedentes financieros, comerciales, tributarios,
laborales, de seguros de una persona natural o jurídica que permita evaluar su
solvencia económica vinculada principalmente a su capacidad y
trayectoria de endeudamiento y pago.
(…)
h) Fuentes de
acceso público.- Información que se encuentra a disposición del público en general o
de acceso no restringido, no impedida por cualquier norma limitativa, que está
recogida en medios tales como censos[19],
anuarios, bases de datos o registros públicos, repertorios de jurisprudencia,
archivos de prensa, guías telefónicas u otros medios análogos; así como las
listas de personas pertenecientes a grupos profesionales que contengan
únicamente los nombres, títulos, profesión, actividad, grados académicos,
dirección e indicación de su pertenencia al grupo.
El Art. 7°.- Fuentes de información, organiza al acopio de
información, de fuentes privadas como
públicas, sin consentimiento del titular de la información,
o adquiridas de fuentes privadas o públicas mediante contratos[20] y que no constituyan violación del secreto
profesional, o que dicha información no haya sido declarada o constituya un
secreto comercial o industrial[21].
La referencia en este artículo al acopio de información sin
consentimiento del titular, persona natural o jurídica, constituían ya - en
el tenor del art. 2° Derechos de la persona humana de la Constitución de 1993,
numerales 5 y 6 - si no una violación a los derechos de la persona, al menos
una amenaza y, más específicamente, a partir de la vigencia de la L-29733.
Constituían similares amenazas o infracciones en 2011, las facultades
de acopiar o colectar aquellas informaciones adquiridas de fuentes
privadas o públicas mediante contratos, puesto que ellas vulneraban los
principios de legalidad, finalidad, proporcionalidad introducidos por L-29733,
diez años después, al no haber sido actualizadas, uniformizadas ni adecuadas
las normas de la L-27849, a esa norma específica. Sobre esta falta de la
L-27849 en relación a la L-29733, el art. 17 de esta última, Confidencialidad
de los Datos Personales, establece que no solamente:
El titular
del banco de datos personales, el encargado y quienes intervengan en cualquier
parte de su tratamiento están obligados a guardar confidencialidad respecto
de los mismos y de sus antecedentes.
Sino que: Esta obligación subsiste aun
después de finalizadas las relaciones con el titular del banco de datos
personales. Por lo
tanto estarían prohibidas la cesión, transferencia, donación de banco de datos
personales: - añade el art. 17 - salvo cuando medie consentimiento
previo, informado, expreso e inequívoco del titular de los datos personales,
resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas
relativas a la defensa nacional, seguridad pública o la sanidad pública, sin
perjuicio del derecho a guardar el secreto profesional.
Pero tanto vía el acopio o colecta de información personal sin consentimiento,
como su adquisición de fuentes públicas o privadas, la mercantilización de
datos e informaciones personales se confirma mediante el art. 14 de la L-29733,
al incluir equívocamente entre las limitaciones al consentimiento para el
tratamiento de datos personales:
No se requiere
el consentimiento del titular de datos personales, para los efectos de su
tratamiento, en los siguientes casos:
(…)
3. Cuando se
trate de datos personales relativos a la solvencia patrimonial y de
crédito, conforme a ley.
Sin embargo, esta limitación pareciera estar en contradicción si consideramos que estos datos
personales son sensibles, y por lo tanto ameritan un tratamiento especial.
Si nos reportamos a la definición de Datos
Sensibles señalada en el numeral 5. del art. 2 Definiciones, de la L-29733,
incluye entre ellos, los ingresos económicos:
Datos
personales constituidos por los datos biométricos que por sí mismos pueden
identificar al titular; datos referidos al origen racial y étnico; ingresos
económicos, opiniones o convicciones políticas, religiosas, filosóficas o
morales; afiliación sindical; e información relacionada a la salud o a la vida
sexual.
El concepto de ingresos económicos subrayado expresa entonces no solamente
la solvencia patrimonial sino indirectamente el crédito de una persona a las
que se refiere el art. 14 de la L-29733, aun cuando su Reglamento,
el Decreto Supremo Nº 003-2013-JUS omitió regular este término. En todo
caso, las informaciones personales se acopiarían sólo sí éstas se relacionan a
obligaciones o antecedentes financieros, comerciales, tributarios,
laborales, de seguros de una persona natural o jurídica que permita evaluar su
solvencia económica, según la definición de información de riesgos,
literal b) art. 2 de L-27849; menudo imbroglio, y menuda
incoherencia entre la norma legislativa y el silencio de la norma ejecutiva!
De otro lado, la Directiva Seguridad de la Información
aprobada por R.D. N° 019-2013-JUS/DGPDP, en adelante, D-019-2013-JUS/DGPDP,
cuyo objeto es garantizar la seguridad de los datos personales contenidos o destinados a
ser contenidos en bancos de datos personales, mediante medidas de seguridad que
protejan los bancos de datos personales conforme a la Ley N° 29733 y
su Reglamento, establece
en sus Disposiciones
Generales, de acuerdo a
una clasificación
de categorías por tratamiento y según el principio de proporcionalidad
implícito, una escala de cinco niveles de seguridad: básico,
simple, intermedio, complejo y crítico, y puede
incluir (Sic) en estos tres
últimos, las categorías de datos sensibles, es decir, ingresos
económicos.
Y no sólo eso, sino que la seguridad por cada categoría, supone
adoptar criterios que jerarquizan los bancos de datos, claro está a un
mayor coste, tomando en cuenta:
a) Volumen de
registros.-
b) Número de
datos
c) Periodo de
tiempo para la finalidad del tratamiento de datos personales
d) La
titularidad del banco de datos personales
e) Finalidad
del tratamiento de datos personales respaldada por norma legal
f) Múltiple
localizaciones
g)
Tratamiento de datos sensibles
A esas Disposiciones Generales, la Directiva Seguridad arriba
mencionada, acompaña
otras Disposiciones Especificas, consistentes en Medidas de Seguridad Organizativas,
Medidas de Seguridad Jurídicas y Medidas de Seguridad Técnicas, que igualmente tienen una
importante repercusión en la organización, formación, regulación, tecnología, y
evidentemente en la gestión y en los costos, vinculados a la
infraestructura, equipos, organización, personal formado, calificado y certificado,
seguridad y encriptación de la información, por no citar sino algunas rúbricas
de obligatoria aplicación.
Consecuentemente, y desde el punto de vista económico, las tasas internas
de retorno sobre inversión y los índices de rentabilidad son afectados, en
función del modelo empresarial, dimensiones, simple o múltiple localización, ….
Y ello es válido para las personas naturales y jurídicas, públicas y
privadas. En corolario la seguridad de la información tiene un
costo, como igualmente pudiera tenerlo el derecho del titular de los datos
personales a ser informado.
Ello nos lleva a analizar si las alternativas de notificación propuestas al
Artículo 18 de la L-29733 pueden ser satisfechas con la propuesta del Proyecto
aprobado de modificación al D. Legis-1353.
Las diferencias entre el Artículo 18 de la L-29733 y el D.
Legis-1353, y el Proyecto de Ley N.°
1828/2017-CR que los modifican, se concentran en el tercer y cuarto
parágrafo[22]:
En el tercer parágrafo se modificaría el termino de: establecer un mecanismo de información
personalizado, por el de eficaz; adicionándose, al final del párrafo: que puede ser, a través de su publicación en medios
físicos, virtuales u otros de similar naturaleza, que permitan al titular de
los datos personales, informarse de manera oportuna y adecuada.
En el cuarto parágrafo se introduce
el supuesto de la transferencia de datos personales bajo diversas
formas, posterior al consentimiento, en esos casos, el nuevo titular del banco de datos debe establecer un mecanismo de
información eficaz para el titular de los datos personales sobre dicha nueva
titularidad del banco de datos”.
En el tercer parágrafo, la idea de modificar el término: de establecer un mecanismo de información personalizado por uno eficaz, agregándose: que puede ser, a través de su publicación en medios
físicos, virtuales u otros de similar naturaleza, que permitan al titular de
los datos personales, informarse de manera oportuna y adecuada, entraña, al menos dos cambios fundamentales: evitar
los sobrecostos relacionados a la personalización del derecho de ser informado
acordado al titular de los datos personales, reduciendo la obligación del
titular de los bancos de datos; e instaurando una obligación de formación,
búsqueda, lectura, apertura, análisis y/o reacción de los titulares de los
datos en los medios en los cuales se encuentra contenida la
información.
Además,
introduce una falacia en su justificación: permitir al titular
informarse de manera oportuna y adecuada. Entre el derecho de los titulares
a ser informados y la obligación de disponer de los medios, formarse, buscar,
leer, abrir, analizar y reaccionar ante la información recibida,
particularmente en el caso de uso de medios virtuales, no existe
correspondencia de oportunidad ni de adecuación, resultan procesos más extensos
y complejos que reposan en el titular de los datos.
Un caso de
figura similar se presenta en las dos formas de notificación electrónica
adoptadas por las autoridades públicas en el Perú, y que serían inválidas
legalmente: la notificación por envío a través de un correo
electrónico o clave adjudicada por la autoridad; o la notificación por
depósito, ésta practicada ampliamente por el Poder Judicial, y aquella, por
la SUNAT, a través de la Clave Sol, con las ventajas y desventajas de cada
cual, incluyendo la variable costos. Este es otro de los instrumentos
normativos que requiere ser uniformizado, sobre todo, por la exigencia de la
ley, en los casos de acuse de recibo de la información-comunicación; prueba
determinante en la cadena de verificación de la notificación, bajo toda
modalidad[23].
En el cuarto parágrafo, según las
hipótesis de formas de unión jurídica, de adquisición de carteras o supuestos
similares, posteriores al consentimiento, resulta una obligación del titular de los bancos de
datos, establecer un mecanismo eficaz para la información a los titulares de
los datos. Es decir que puede adoptar todas las formas posibles de información
señaladas para el tercer parágrafo, como proponer nuevas. La
pertinencia de esta propuesta resulta espuria. De otro lado, los
nuevos principios del RGPD, expresado en los considerandos y artículos 7[24] y
8[25],
sobre el consentimiento, modificarán seguramente esta propuesta[26].
El requerimiento de consentimiento se refuerza en el RGPD, mediante el
Artículo 7[27] y
en el (32) Considerando del RGPD, el
legislador europeo ha precisado las características del consentimiento,
asociándola a la técnica del Opt-in, consistente en solicitar la
autorización previa del usuario para enviarle un correo electrónico o
simplemente recopilar información sobre él:
El consentimiento debe darse mediante un acto afirmativo claro que refleje
una manifestación de voluntad libre, específica, informada, e inequívoca del
interesado de aceptar el tratamiento de datos de carácter personal que le
conciernen, como una declaración por escrito, inclusive por medios electrónicos,
o una declaración verbal. Esto podría incluir marcar una casilla de un sitio
web en internet, escoger parámetros técnicos para la utilización de servicios
de la sociedad de la información, o cualquier otra declaración o conducta que
indique claramente en este contexto que el interesado acepta la propuesta de
tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya
marcadas o la inacción no deben constituir consentimiento. El consentimiento
debe darse para todas las actividades de tratamiento realizadas con el mismo o
los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos. Si el consentimiento del interesado se ha de
dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser
clara, concisa y no perturbar innecesariamente el uso del servicio para el que
se presta.
El RGPD rechaza toda técnica de desestabilización o el uso de redacción
demasiado vaga o confusa (uso de doble negación o incoherencias).
Hasta ahora, sin embargo, el análisis ha sido consagrado a aquellos datos e
informaciones personales a partir de los cuales es posible la identificación
directa, mediante los atributos identificables de las personas naturales:
nombre[28], domicilio, sexo, DNI, obligaciones o antecedentes financieros,
comerciales, tributarios, laborales, de seguros[29]. Pero el examen resulta más complejo sí el acopio y
tratamiento de la información se realiza sobre algunos aspectos o atributos que
no permiten la identificación directa sino indirecta:
la identificabilidad de la personas naturales o jurídicas a las que se refiere
la segunda parte de la definición de Datos Personales, numeral 4) del art. 2 de
la L-29733, y que pueden entrañar un sobrecosto mayor, por el concepto de medios
razonablemente utilizados:
Toda
información sobre una persona natural que la identifica o la hace
identificable a través de medios que pueden ser razonablemente utilizados.
La identificabilidad de una persona se expresa bajo dos
aspectos; uno, por los atributos aislados de la persona que no
permiten identificarla directamente, pero que sí es posible al adicionarse,
relacionarse con otros. Dos, por medios razonables utilizados.
Los atributos personales indirectos o aislados se definen
negativamente como aquellos extendidos o reconocidos oficialmente por la
autoridad política, civil, comercial, industrial u otra, pero que no identifican
directamente a las personas como las partidas de nacimiento, matrimonio, defunción,
Registro de Comercio, Industria, Licencia de funcionamiento,…) sino por todos
otros aquellos rasgos de la persona natural o jurídica que por reagrupamiento,
asociación y/o correlación permiten identificarla: Ejemplo: número de DNI, sexo,
domicilio, profesión, número de teléfono, correo electrónico… Este
concepto debe asociarse al numeral 17 del art. 2 de la L-29733, que define la
noción de Tratamiento de Datos Personales e introduce el de correlación o interconexión de los
datos personales, permitiendo no sólo establecer y administrar una cadena de
datos e informaciones, sino rendir identificable a una persona.
Cualquier
operación o procedimiento técnico, automatizado o no, que permite la
recopilación, registro, organización, almacenamiento, conservación,
elaboración, modificación, extracción, consulta, utilización, bloqueo,
supresión, comunicación por transferencia o por difusión o cualquier
otra forma de procesamiento que facilite el acceso, correlación o interconexión
de los datos personales.
El inconveniente es que los atributos personales que sirven para la
identificación son regulados indirectamente por los Principio de
Proporcionalidad, Finalidad, Legalidad de la L-29733 y por el uso de medios
(incluyendo tecnologías) razonablemente utilizadas, a las cuales apelamos para
obtener ella.
Sobre el particular, el Código Penal Peruano, en el artículo 248.- Condicionamiento
de créditos, se interesa y sanciona la entrega condicionada en
contraprestaciones indebidas para el otorgamiento de un crédito, como la
exigencia directa o indirecta - en los cuales podemos incluir la entrega de datos
e informaciones personales - fuera de toda proporción, finalidad o legalidad de
los datos.
Los
directores, gerentes, administradores o funcionarios de las instituciones
bancarias, financieras y demás que operan con fondos del público que
condicionan, en forma directa o indirecta, el otorgamiento de créditos
a la entrega por parte del usuario de contraprestaciones indebidas, serán
reprimidos con pena privativa de libertad no menor de uno ni mayor de tres años
y con noventa a ciento ochenta días-multa.
Además que estas contraprestaciones indebidas pueden amenazar o violar
otros derechos protectores de la persona jurídica, particularmente
los referidos a la propiedad intelectual, imagen o reputación, exceptuándose
según la L-27849, el secreto profesional.
La identificación indirecta se relaciona entonces con los medios razonablemente
utilizados previstos en el Considerando 26 de la derogada Directiva
95/46/UE[30] que sirvió de base para la
transposición de ésta en la Ley 15/1999 de Protección de Datos Personales
española, y que a su vez ésta Ley fuera la principal referencia para elaborar el
primer borrador del Proyecto de Ley de Protección de Datos Personales
peruano, pero que ahora - de adecuarlo al actual RGPD - requiere de
una consulta previa a la Autoridad de Control[31].
Los medios pueden ser razonablemente utilizados por el responsable del
tratamiento o por cualquier otra persona para identificar a dicha persona. Sí, teniendo en cuenta ese conjunto de
medios, no existe esa posibilidad o ésta es intrascendente, la persona
debe ser considerada como inidentificable y la información no debe catalogarse
como datos personales.
Este criterio ha sido igualmente graduado en función de los principios de
finalidad, proporcionalidad, legalidad, previstos de los nuevos derechos y
obligaciones que el RGPD anuncia para los titulares de los datos e
informaciones, titulares de los bancos de datos, encargados y responsables, en
los casos de transferencias o flujo transfronterizo de datos personales.
El Artículo 7º.- Fuentes
de información de la L-27849 que
venimos de comentar, se relaciona con el Artículo 9º.- Lineamientos generales de recolección y
tratamiento de información:
a) La recolección de información no podrá efectuarse
por medios fraudulentos o ilícitos;
b) La información recolectada sólo podrá ser utilizada
para los fines señalados en la presente Ley;
c) La información será lícita, exacta y veraz, de
forma tal que responda a la situación real del titular de la información en
determinado momento. (…) y,
d) La información será conservada durante el plazo
legal establecido o, en su defecto, durante el tiempo necesario para los fines
para los que fue recolectada
Y con el Artículo 8º.- Información suministrada por los titulares, organizando la
norma, la recolección de información de riesgos directamente y con el
consentimiento de los titulares por las CEPIRS, previa información expresa,
precisa e inequívoca de:
a) La existencia del banco de datos, la finalidad de
la recolección de la información y los potenciales destinatarios de ésta;
b) La identidad y dirección de la CEPIR que recolecta
la información;
c) El carácter facultativo de sus respuestas a las
preguntas que le sean planteadas;
d) Las posibles consecuencias de la obtención de la
información; y,
e) El alcance de los derechos desarrollados en el
Título Cuarto de la presente Ley, así como de los procedimientos para hacerlos
valer.
(…)
Excluyéndose, vía
el Artículo 10º.-, la:
a) Información sensible;
b) Información que viole el secreto bancario o la reserva tributaria;
c) Información inexacta o errónea;
d) Información referida al incumplimiento de obligaciones (…)
e) Sanciones? (…)
f) Insolvencia o quiebra, (…), o,
g) Cualquier otra excluida por ley.
Estos tres artículos interrelacionados a los
Lineamientos generales de colecta y tratamiento de información,
obligaciones de los titulares de los bancos de datos y los encargados, y sus
excepciones, subrayan la ambigüedad del principio de consentimiento actual, y su
fragilidad en el cumplimiento y control de las obligaciones de
información suministrada a los titulares de los datos e informaciones
personales. Ergo, sin respeto del Principio de consentimiento, todo
tratamiento de datos e informaciones actualmente ha devenido
caduco.
La ambigüedad del Principio de consentimiento tal como
es interpretado por la L-27843, estriba en la oposición entre el artículo 7° y
el artículo 2°, literal h) Fuentes de acceso público, pues la
supuesta información a disposición del público en general o de acceso no
restringido, no impedida por cualquier norma limitativa, recogida en (diversos) medios, y
que fue declinada por sus titulares para una finalidad determinada:
a) Mandato de la administración para
cumplir determinadas finalidades (Censos, jurisprudencia, u otros medios
análogos, la misma que debe ser anonimizada o disociada.[32]),
numeral debe ser concordado con el numeral 12. del artículo 2° de la L-29733,
sobre Procedimiento
de anonimización; o
b) Aquel consentimiento resultante de
contratos entre particulares (Guías telefónicas o de grupos profesionales que
contengan únicamente los nombres, títulos, profesión, actividad, grados
académicos, dirección e indicación de su pertenencia al grupo).
Además, y en ambos casos, el volumen y la especificidad de los rasgos
personales se adecúa a la finalidad de los contratantes, y no puede ser
colectada tal cual, en absoluto, alegando su procedencia de una fuente pública,
cierto, pero acopiada para una finalidad determinada.
El artículo 7 de L-27849, debiera ser concordado sistemáticamente con el
Art 7 de la L-29733, Principio de Proporcionalidad: Todo tratamiento de datos
personales debe ser adecuado, relevante y no excesivo a la finalidad para
la que estos hubiesen sido recopilados.
Y esta ambigüedad se extiende también a la cesión: las CEPIRS pueden,
facultativamente (Art. 11º.) difundir a terceras personas,
onerosa o gratuitamente[33], la información de riesgos que
contengan sus bancos de datos; implementar procedimientos automatizados para la
transmisión, comunicación, o acceso de datos, registro obligatorio de éstos, y
bajo responsabilidad, cautelar los derechos de los titulares de la información;
pero mantienen un deber, obligación de seguridad (Art.
12º.-) de adoptar las medidas técnicas y administrativas para
garantizar su inalteración, pérdida; tratamiento o acceso no autorizado. (La D-019-2013-JUS/DGPDP, incluirá posteriormente, la
adopción de medidas legales).
La
interrogante que suscitan estos artículos es: sí el hecho de variar la
notificación al titular de los datos personales estableciendo en lugar de un mecanismo de información personalizado, uno eficaz; que puede ser, a través de su publicación en medios
físicos, virtuales u otros de similar naturaleza, que permitan al titular de
los datos personales, informarse de manera oportuna y adecuada, pretende garantizar menos la obligación de seguridad
que el sobrecosto a asumir? En principio no; la prueba es la presentación del
Proyecto Modificatorio. Además, ello depende tanto de la sensibilidad del
contenido del mensaje (actos administrativos o sustanciales) como de las normas
técnicas, legales y organizativas adoptadas, aunque estas tienen un costo fijo
o incompresible.
En el Titulo Cuarto, de la Defensa de los Titulares de
la Información en General, la ley precisa en los Artículos 13º, 14º,
15º y 16º.-,
Cuáles son los derechos de los titulares de la información (13º):
a) Acceso a la información; (14º)
b) Modificación y cancelación; (15º) y,
c) Rectificación (16º), incluyendo las formalidades, procedimientos y plazos,
El Artículo 17º, se refiere a la
Tutela jurisdiccional, la misma que ha sido organizada según sí los titulares
de la información son considerados o no consumidores.
17.1 Los titulares de la información que no sean considerados consumidores
para efectos del Decreto Legislativo Nº 716, Ley de Protección al Consumidor,
podrán solicitar judicialmente la tutela de los derechos enunciados en este
Subtítulo en la vía del proceso sumarísimo.
17.2 Para poder interponer una demanda con el fin de que se modifique,
cancele o rectifique una información de riesgos que se considere ilegal,
inexacta, errónea o caduca, el titular de dicha información deberá previamente
obtener un pronunciamiento, expreso o tácito, denegando una solicitud de
revisión o de rectificación, tramitada conforme a lo dispuesto en los Artículos
15º y 16º de la presente Ley.
En la primera argumentación del numeral 17.1, se
plantea una digresión interesante sobre si los titulares de la información son
o no considerados consumidores? Pero previamente analicemos la definición de
consumidor.
La Ley 29571, en adelante L-29571, Código
de Protección y Defensa del Consumidor Artículo IV.- Definiciones, para los
efectos del presente Código, entiende por: 1. Consumidores o usuarios :
1.1 Las
personas naturales o jurídicas que adquieren, utilizan o disfrutan como
destinatarios finales productos o servicios materiales e inmateriales, (El
subrayado es del autor) en beneficio propio o de su grupo familiar o
social, actuando así en un ámbito ajeno a una actividad empresarial o
profesional. No se considera consumidor para efectos de este Código a quien
adquiere, utiliza o disfruta de un producto o servicio normalmente destinado
para los fines de su actividad como proveedor.
La duda no estriba entre aquellos que son titulares de los bancos de datos,
Central de Riesgos Privada - en soporte físico o digital - y aquellos que lo
consultan, sino en sí los titulares de los datos son realmente consumidores y
sujetos a la tutela jurisdiccional?
Según la definición, los consumidores son aquellos que adquieren,
utilizan o disfrutan como destinatarios finales productos o servicios
materiales e inmateriales, es decir, todos quienes acceden a servicios
inmateriales (informaciones personales, propias o de terceros). Pero a mi
parecer no es esa la finalidad primera atribuida a los titulares de los datos,
sino a aquellos que desean conocer, disminuir o eliminar los riesgos bancarios,
financieros. Según esta argumentación las CEPIRS serian los proveedores, y
aquellos que consultan esas informaciones, los consumidores, no los titulares
de los datos e informaciones personales.
A pesar de ello, la ley ha atribuido al titular de las
informaciones personales el carácter de consumidor, y en la aplicabilidad
del Artículo 17º, estos podrán(17.2.):
Interponer una demanda con el fin de que se modifique, cancele o rectifique
una información de riesgos que se considere ilegal, inexacta, errónea o caduca,
el titular de dicha información deberá previamente obtener un pronunciamiento,
expreso o tácito, denegando una solicitud de revisión o de rectificación, tramitada
conforme a lo dispuesto en los Artículos 15º y 16º de la presente Ley.
Una primera observación sobre ello
nos conduce al deber de identificar las obligaciones de los titulares o
encargados de los bancos de datos, y al establecimiento de procedimientos de
verificación, sencillos, claros, transparentes en favor del titular.
Una segunda observación, a la
expedición de pronunciamientos de solicitudes, no sólo de revisión,
rectificación - como precisa el numeral - sino sobre los derechos de los
titulares de los datos e informaciones personales de: cancelación y oposición que nos propone la L-29733; y los derechos
al olvido,
borrado, error, transparencia, a saber, a ser comunicado, al
desreferenciamiento, a la portabilidad, a la conservación, a la transferencia,
que regula el actual RGPD y que obligará a la adaptación de las normas
nacionales, como fuente doctrinaria y legislativa, particularmente, por el
alcance del Articulo 3 Ámbito territorial del RGPD[34] en el Perú.
Y una tercera observación, se refiere a la
expedición de estos pronunciamientos gratuitamente - no sólo de visualización
en pantalla sino emisión del documento correspondiente - en soporte papel o
electrónica y oportunamente. Si las CEPIRS incumplen los derechos,
procedimientos y plazos previstos en el artículo 15° Derecho
de modificación y derecho de cancelaciónde la
L-27849, quizás sea idónea la expedición de una norma semejante a la de silencio
administrativo negativo en la función pública.
En la segunda argumentación del Artículo 17°, (17.1.), los
consumidores podrán solicitar judicialmente la tutela de los derechos enunciados en este
Subtítulo en la vía del proceso sumarísimo. Pero cuáles son ellos: derecho de
modificación, de cancelación o rectificación, y el de acceso? Si tenemos como
referencia los derechos ARCO, previstos en la L-29733, Acceso, Rectificación, Cancelación, Oposición, el numeral no los enuncia todos, ni el alcance de cada
cual.
Consecuentemente, el Artículo 17, deja fuera de la
Tutela Jurisdiccional, la defensa integral del Derecho de Acceso previsto
en el Art. 14°, puesto que sólo menciona un implícito acceso reconocido en la
L-27849, reducido a un acceso anual a la información crediticia que les concierne,
registrada en los bancos de datos administrados por las CEPIRS, o cuando la información
contenida en los bancos de datos haya sido objeto de rectificación. Este derecho
es de mayor amplitud en la L-29733[35],
e incluye otros derechos: actualización, inclusión.
Cuanto a la responsabilidad civil y penal, el Artículo 18º, propone dos
escenarios: primero, el relativo a la responsabilidad civil
objetiva de las CEPIRS por los daños ocasionados al titular de la información
por efecto de tratamiento o difusión de la información. La misma que las CEPIRS
podrán repetir contra las fuentes proveedores de información cuando el daño sea
ocasionado como consecuencia del tratamiento de información realizado por
éstas. La responsabilidad civil objetiva es regulada por el Art. 1970º del Código Civil:
Aquel que
mediante un bien riesgoso o peligroso, o por el ejercicio de una actividad
riesgosa o peligrosa, causa un daño a otro, está obligado a repararlo.
La Segunda, corresponde a la
responsabilidad de los usuarios o receptores de la información proporcionada
por las CEPIRS en caso de uso indebido, fraudulento o de modo que cause daños
al titular de la información, la misma que se determinará conforme
a las normas de responsabilidad civil y penal a que hubiere lugar.
No se menciona el error, el dolo o la negligencia causada por las CEPIRS, en
caso de cesión o transferencia a terceros.
Finalmente, el Título Quinto De la Defensa de los
Consumidores en Especial, contiene cinco artículos, del 19º.- al 23º.-, destinados
a la Defensa de los Consumidores, Infracciones, Competencia para el
conocimiento de las mismas, Medidas y Ejecución de Medidas Correctivas.
El Artículo 19º.- Defensa de los consumidores,
regula dos aspectos:
Uno, las disposiciones contenidas en el presente Título son de
aplicación a las disputas que surjan entre las CEPIRS y los titulares de la
información;
Dos: los titulares de la información son considerados consumidores por
mandato de la presente Ley, para efectos de la aplicación de lo dispuesto por
el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.
En el primero, el legislador omitió pronunciarse sobre
todos aquellos, parte de la relación jurídica, que consultan, acceden a los
bancos de datos y que no son ni los proveedores de datos CEPIRS, ni titulares
de los mismos.
En el segundo, el artículo impone el estatuto de
consumidor o usuario a la persona natural o jurídica, el mismo que fue
modificado en junio de 2008, eximiendo a las personas
jurídicas, pero reconociendo la mercantilización de la información
como la asimetría informativa[36].
Cuanto a la mercantilización, las Centrales privadas de información
de riesgos (CEPIRS), tal como han sido definidas en el literal a) del Articulo
2 de la Ley 27849, pueden recolectar y tratar información de riesgos de
consumidores o usuarios sin consentimiento del titular y sin que exista
necesariamente un contrato de servicios de crédito o finanzas; tratando (los
datos e) informaciones de éstos como una mercancía.
El Artículo 20º.- se refiere a las Infracciones, consideradas
como administrativas, de las cuales son objetivamente responsables las CEPIRS, y
aplicables a la denegación de los derechos previstos en los artículos 14° al
16°: Derechos de Acceso, Modificación y Cancelación y Rectificación.
Incluyendo la responsabilidad que pudiera corresponder a las fuentes de las que se
hubiera colectado información, de ser el caso, conforme a las disposiciones
contenidas en el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.
La Competencia para el conocimiento de las infracciones, prevista en
el Art. 21°, recae en la Comisión de
Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y
de la Protección de la Propiedad Intelectual (INDECOPI) órgano administrativo
competente para conocer de las infracciones tipificadas en el Art. 20, e
imponer las sanciones administrativas y las medidas correctivas a las que
hubiere lugar.
A través de este artículo, el legislador crea una
primera Autoridad competente para el conocimiento de las infracciones vinculada
a los datos o informaciones personales, subordinada a INDECOPI, dependiente de
la Presidencia del Consejo de Ministros, Poder Ejecutivo, la misma que
duplicará y ampliará años más tarde con una segunda Autoridad Nacional de
Protección de Datos Personales, creada por la L-29733, dependiente del
Ministerio de Justicia y Derechos Humanos, dependiente del Poder Ejecutivo,
igualmente, sin cuestionarse sobre la validez, vigencia y vinculación de ambas
instituciones sobre los datos e informaciones personales.
Cuanto a las Medidas Correctivas, Art. 22°,
a imponerse por la Comisión de INDECOPI referida en el artículo anterior:
modificación, cancelación, rectificación y/o actualización, estas pueden serlo
sin perjuicio de las sanciones administrativas a que
hubiere lugar, incluyendo las sanciones a las fuentes proveedoras de información
que incurran en infracción.
Entendemos que las sanciones administrativas son
aquellas previstas en la Ley del Procedimiento Administrativo N° 27444. Según
esta norma, la habilitación
legal a la Administración para dictar medidas correctivas ha sido prevista en
el numeral 232.1, cuyo tenor es el siguiente:
Las sanciones
administrativas que se impongan al administrado son compatibles con la
exigencia de la reposición de la situación alterada por el mismo a su
estado anterior, así como con la indemnización por los daños y
perjuicios ocasionados, los que serán determinados en el proceso judicial
correspondiente.
En consecuencia, el afectado podrá obtener de la parte
administrativa la sanción de reponer la información al
estado anterior de la situación alterada. Sin embargo, el concepto de
reposición en derecho informático no es sinónimo de actualización, de invertir
el status de deudor a no deudor, o de registro de
deudor y cancelación de deuda, ergo, al ejercicio del derecho al
olvido o de borrado de toda información que le concierne, según las nuevos
derechos acotados en el RGPD a toda persona humana, señalados líneas arriba.
Además, mientras no se reponga realmente la información, la falta o delito
deviene continuo, y los daños sobre la imagen y reputación de la persona, no se
expresan necesariamente en dinero.
Por último, el Art. 23° Ejecución de Medidas
Correctivas, prevé dos consecuencias: una, las resoluciones finales
que ordenen medidas correctivas, una vez consentidas o que causen estado en la
vía administrativa, constituyen títulos de ejecución; y dos, en
caso de resoluciones finales que ordenen medidas correctivas a favor de
consumidores afectados por la infracción administrativa, la legitimidad
para obrar en los procesos civiles de ejecución corresponde a los mencionados
consumidores.
Del Quinto Titulo referido a la Defensa de los
Consumidores, podemos extraer algunas reflexiones, unas, atinentes a
la discutible atribución de status de consumidor y/o
usuario al titular de los datos e informaciones personales; otras, relacionadas
a derechos internacionales omitidos que figuran como derechos humanos de
tercera generación y no necesariamente referidos ni incluidos en ese Titulo,
entre ellos:
· La protección contra los riesgos que puedan afectar la
salud o seguridad de los titulares sobre la información personal (Reducción de
medidas por sobrecostos, por ejemplo).
· La protección de legítimos intereses económicos y
sociales de los titulares de la información personal; en particular frente a
las prácticas comerciales desleales y la inclusión de cláusulas abusivas en los
contratos.
· La indemnización de los daños y la reparación de los
perjuicios sufridos.
· La información correcta sobre los diferentes bienes o
servicios y la educación y divulgación para facilitar el conocimiento sobre su
adecuado uso, consumo o disfrute.
· La audiencia en consulta, la participación en el
procedimiento de elaboración de las disposiciones generales que les afectan
directamente y la representación de sus intereses, a través de asociaciones,
agrupaciones, federaciones o confederaciones de consumidores y usuarios
legalmente constituidas.
· La protección de sus derechos mediante procedimientos
eficaces, en especial ante situaciones de inferioridad, subordinación e
indefensión.
SEGUNDA PARTE
Seguir la segunda parte en este enlace: https://derecho-ntic.blogspot.com/2018/08/proyecto-de-modificatoria-de-ley-de.html
No hay comentarios:
Publicar un comentario