LA CONTRIBUCIÓN DEL METAVERSO DE LA ROBÓTICA AL SECTOR MÉDICO - DICTAMEN DEL COMITÉ ECONÓMICO Y SOCIAL EUROPEO.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

En su Dictamen el CESE recomienda desarrollar un marco normativo global para la robótica y el metaverso en la atención sanitaria, con el objetivo de garantizar la seguridad y la eficiencia en su aplicación.

Destaca la importancia de establecer estándares y protocolos de consentimiento más claros e informados por los pacientes que interactúan con estas tecnologías. Exhorta a invertir en infraestructuras digitales, especialmente en zonas rurales y desfavorecidas, para evitar la brecha digital y garantizar el derecho de acceso a los avances tecnológicos en salud. Para ello es necesario priorizar el despliegue de redes 5G y 6G a fin de  permitir el funcionamiento confiable y seguro de la robótica y el metaverso.

El Dictamen postula por el refuerzo de la formación y educación de los profesionales sanitarios mediante programas financiados y promovidos por la UE, preparándolos para la integración de estas nuevas herramientas en su práctica clínica. Propone el fomento de la innovación a través de una estrategia de inversión específica de la UE, especialmente dirigida a pequeñas y medianas empresas (PYMES) que desarrollen soluciones de robótica y metaverso para el sector sanitario.

Juzga importante la necesidad de fortalecer la protección de la confidencialidad de los datos y la ciberseguridad, aplicando estándares estrictos para proteger los datos sensibles de salud y protegerlos contra cíberataques.

En conclusión, el CESE considera que la integración de la robótica u el metaverso en el sector médico puede transformar la atención médica, mejorar la salud y el acceso a los servicios y promover la innovación. Sin embargo, insiste en que este proceso debe ir acompañado de una regulación adecuada, inversiones en infraestructura, protección de datos y formación profesional para maximizar los beneficios y minimizar las pérdidas. 

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_________________________________________________________________

Diario Oficial de la Unión Europea

ES Serie C

---

C/2025/2008

30.4.2025

Dictamen del Comité Económico y Social Europeo

La contribución del metaverso de la robótica al sector médico

(Dictamen de iniciativa)

(C/2025/2008)

Ponente:

Martin BÖHME

Coponente:

Hervé JEANNIN

Asesor	Hun Xhing CHEAH (por el coponente de la Cat. 2)
Decisión de la Asamblea	18.1.2024
Base jurídica	Artículo 52, apartado 2, del Reglamento interno
Sección competente	Comisión Consultiva de las Transformaciones Industriales
Aprobado en la CCMI	16.1.2025
Aprobado en el pleno	26.2.2025
Pleno n.o	594
Resultado de la votación (a favor/en contra/abstenciones)	185/0/3

1.   Conclusiones y recomendaciones

 1.1. El CESE recomienda desarrollar un marco normativo global para la robótica y el metaverso en la atención sanitaria. Dicho marco debe abordar las cuestiones de responsabilidad, sobre todo en aquellos casos en que se produzcan fallos del sistema durante intervenciones quirúrgicas a distancia o procedimientos asistidos por robots. Un aspecto esencial de las operaciones es que el ser humano pueda supervisarlas e influir en ellas, y también que sea capaz de interrumpir, ajustar o anular cualquier proceso asistido por la inteligencia artificial (IA) o la robótica. El CESE subraya que una rendición de cuentas clara resulta esencial para garantizar la seguridad de los pacientes y generar confianza en estas tecnologías.

 

 1.2. El CESE hace hincapié en la importancia de promover normas éticas y protocolos de consentimiento para los pacientes. Insiste en que la UE aplique directrices éticas para el uso de la robótica y el metaverso en la atención sanitaria, con especial incidencia en el consentimiento por parte del paciente. El CESE considera que los pacientes deben conservar el derecho a comprender y autorizar el uso de estas tecnologías, en especial cuando intervenga la IA. Además, pone de relieve la necesidad de abordar los posibles sesgos de los sistemas basados en IA y las implicaciones éticas de la supervisión de los pacientes y del personal sanitario en entornos virtuales.

 

 1.3. El CESE pide que se invierta en infraestructuras digitales para garantizar la igualdad de acceso. Destaca la importancia que revisten ese tipo de inversiones, en especial en zonas rurales y desatendidas, con objeto de evitar la brecha digital. La UE debe priorizar el despliegue de redes 5G y 6G para apoyar el funcionamiento seguro y fiable de la robótica y las tecnologías del metaverso. El CESE recalca que el acceso equitativo a estos avances sanitarios en todos los Estados miembros constituye una prioridad clave.

 

 1.4. El CESE aboga por aumentar el apoyo educativo y formativo a los profesionales sanitarios. Considera que la UE debe financiar y promover programas de educación y formación que preparen a los profesionales médicos para la integración de la robótica y las tecnologías del metaverso. Recomienda incorporar estas tecnologías a los planes de estudio de Medicina y ofrecer un desarrollo profesional continuo, que garantice que el personal sanitario esté plenamente preparado para adaptarse a estas innovaciones. Además, es preciso impartir formación no solo a los profesionales de la salud, sino también a todo el personal que entre en contacto directo o indirecto con las nuevas tecnologías. Esta formación debe centrarse tanto en las cuestiones técnicas como en los aspectos éticos y los retos psicológicos. A este respecto, es fundamental involucrar a todo el personal interesado, lo que supone mantener un diálogo social a lo largo de todo el proceso, desde la fase inicial (decisión de inversión) hasta las fases de ejecución y seguimiento.

 

 1.5. El CESE anima a que se fomente la innovación mediante una estrategia de inversión específica de la UE. Recomienda encarecidamente que la UE desarrolle dicha estrategia y la dirija en particular a apoyar a las pequeñas y medianas empresas (pymes) que trabajan en el ámbito de la robótica y las soluciones del metaverso para la atención sanitaria. Propone que esta estrategia se asemeje a programas como Horizonte Europa al proporcionar financiación para la investigación, el desarrollo y la aplicación práctica de estas tecnologías y garantizar así el liderazgo europeo en este ámbito.

 

 1.6. El CESE insiste en la necesidad de reforzar la protección de la confidencialidad de los datos y la ciberseguridad. Insta a la UE a que aplique normas estrictas en materia de protección de datos y ciberseguridad para salvaguardar los datos sanitarios sensibles y protegerlos frente a los ciberataques, lo que implica asegurar las conexiones entre la robótica, el metaverso y los dispositivos de interfaz humana. El CESE también señala que la soberanía de los datos y el cumplimiento de las normas deben abordarse en las distintas jurisdicciones a fin de proteger los derechos de los pacientes y velar por la confianza en los servicios sanitarios transfronterizos.

2.   Observaciones generales

 2.1. La robótica ya ha empezado a reconfigurar el panorama sanitario, mejorando la precisión de las intervenciones quirúrgicas y reduciendo el desgaste físico de los cirujanos. El metaverso, combinado con la robótica, es prometedor en cuanto a la creación de entornos virtuales que favorezcan la colaboración entre profesionales sanitarios de todo el mundo, ofrezcan simulaciones en tiempo real con fines de formación y extiendan la atención especializada a zonas remotas.

 

 2.2. Sin embargo, los beneficios deben ser accesibles para todos. En este sentido, resulta fundamental que la Unión Europea desarrolle políticas que garanticen que todos los pacientes, con independencia de su ubicación o situación socioeconómica, tengan acceso a estos avances tecnológicos. El metaverso puede democratizar el acceso a la sanidad, pero solo si se regula y apoya de manera adecuada.

 

 2.3. El metaverso alberga el potencial de revolucionar la práctica médica, al crear entornos inmersivos en los que los profesionales sanitarios pueden colaborar en tiempo real desde distintos lugares. Estas plataformas virtuales permiten a estudiantes de Medicina, médicos y cirujanos practicar en simulaciones realistas, mejorando así sus habilidades y reduciendo el número de errores en las situaciones reales.

3.   Recomendaciones generales

 3.1. El CESE pide un marco regulador integral y equilibrado para el uso de la robótica y el metaverso en la atención sanitaria. Resulta vital abordar las cuestiones de responsabilidad: ¿quién es el responsable cuando se producen errores a causa de fallos tecnológicos, como el mal funcionamiento de un robot o la pérdida de conectividad al metaverso durante un procedimiento crítico? Un aspecto esencial de las operaciones es que el ser humano pueda supervisarlas e influir en ellas, y también que sea capaz de interrumpir, ajustar o anular cualquier proceso asistido por la IA o la robótica. Para que la normativa sea clara, debe determinar la rendición de cuentas de todas las partes implicadas, desde los fabricantes hasta los profesionales sanitarios.

 

 3.2. Podría aplicarse un marco jurídico jerárquico similar al de la normativa medioambiental de la UE para garantizar que la legislación siga el ritmo de los avances tecnológicos. Dicho marco no solo debe incluir leyes sobre el uso ético de la IA en la robótica médica, sino también requisitos específicos en materia de privacidad, ciberseguridad y protección de datos en entornos virtuales. Una preocupación clave consiste en determinar la responsabilidad en caso de fallo durante intervenciones quirúrgicas realizadas a distancia o asistidas por robots. Este asunto es esencial para generar confianza entre los pacientes y los profesionales médicos. Se necesitan mecanismos jurídicos sólidos que garanticen la transparencia y la rendición de cuentas, y estos deben armonizarse en toda la UE para fomentar los servicios médicos transfronterizos.

 

 3.3. Para que estas tecnologías alcancen todo su potencial, es esencial crear programas de educación y formación integrales. El personal médico de todos los niveles, desde los enfermeros hasta los cirujanos, tendrá que formarse no solo en el manejo de sistemas robóticos, sino también en los nuevos protocolos asociados a los entornos virtuales. El diálogo social es fundamental para garantizar que los trabajadores tengan pleno conocimiento de estos programas de formación y participen en ellos. Las universidades deben asumir la iniciativa integrando estos temas en sus planes de estudios. El metaverso ofrecerá oportunidades de formación sin precedentes, que permitirán a estudiantes y profesionales simular escenarios del mundo real y mejorar sus habilidades en un entorno libre de riesgos. El CESE pide un programa de inversión a escala de la UE para apoyar la educación en este ámbito, que garantice que los profesionales sanitarios del futuro estén correctamente preparados para manejar las tecnologías del mañana.

 

 3.4. El uso generalizado de la robótica y el metaverso en la atención sanitaria plantea importantes dilemas éticos y jurídicos. Cuestiones como la responsabilidad durante las intervenciones quirúrgicas asistidas por robots —en especial cuando se produce un fallo en la conexión a internet durante un procedimiento— deben abordarse con claridad. La cuestión de quién es el responsable cuando las cosas van mal es fundamental para generar confianza en estas tecnologías. Además, el CESE subraya la importancia de garantizar la protección de los datos y la privacidad de los pacientes. A medida que se desarrollan estas tecnologías, los pacientes deben conservar el derecho a consentir su uso, en particular cuando afecte a datos personales sensibles. Además, estas innovaciones deben aplicarse de forma no discriminatoria, garantizando que los sistemas de IA, por ejemplo, no introduzcan sesgos que puedan repercutir negativamente en la atención al paciente.

 

 3.5. El CESE aboga firmemente por una estrategia de inversión específica de la UE destinada a fomentar la innovación en robótica y el metaverso en el sector sanitario. Esta estrategia debe incluir apoyo a las pequeñas y medianas empresas (pymes), que a menudo se encuentran a la vanguardia de la innovación tecnológica, pero pueden afrontar dificultades para competir con empresas más grandes debido a restricciones financieras o normativas. Debería establecerse un amplio programa de financiación de la UE, análogo a Horizonte Europa, para apoyar la investigación, el desarrollo y la aplicación práctica de estas tecnologías en todos los Estados miembros. Esto garantizará que las empresas y los proveedores europeos de asistencia sanitaria sigan siendo competitivos en el panorama mundial, al tiempo que facilita la colaboración transfronteriza.

 

 3.6. El CESE subraya la importancia de hacer partícipes a los profesionales liberales —como médicos, dentistas, psicoterapeutas y veterinarios— y otros profesionales sanitarios en la configuración del futuro de las tecnologías sanitarias. Estos profesionales no solo utilizarán la robótica y el metaverso en el ejercicio de su profesión, sino que también ayudarán a definir los límites éticos y prácticos de su aplicación. Por ejemplo, un casco de realidad virtual puede mejorar la movilidad de un cirujano y transformar así el papel que desempeña en cuanto profesional. La autonomía profesional debe protegerse en todo momento. A medida que surgen nuevas funciones dentro de las profesiones liberales, como especialistas en cirugía a distancia y terapeutas virtuales, es esencial mantener una sólida base ética. El juramento hipocrático, que sigue siendo una piedra angular de la ética médica, debe adaptarse a nivel mundial para incluir las nuevas tecnologías, velando por que el bienestar del paciente sea siempre la máxima prioridad.

 

 3.7. El futuro papel de las personas en un sistema sanitario impulsado por la tecnología: a medida que la robótica y el metaverso asumen cada vez más tareas tradicionalmente realizadas por personas, crece la necesidad de redefinir el papel de los profesionales sanitarios. El CESE considera que la experiencia, la empatía y el juicio humanos siempre serán insustituibles en el sector sanitario. No obstante, a medida que la tecnología se integre más en la prestación de asistencia sanitaria, surgirán nuevas funciones que requerirán aptitudes y competencias diferentes. La UE debe plantearse la creación de un ecosistema que favorezca la integración de estas tecnologías, velando al mismo tiempo por que los profesionales sanitarios sigan ocupando un lugar central en el proceso. Este enfoque ayudará a mantener el toque humano, tan esencial en la atención al paciente, incluso en un entorno basado en la tecnología.

 

 3.8. Uno de los retos más importantes en la adopción de la robótica y el metaverso reside en garantizar que toda la ciudadanía tenga acceso a estas innovaciones. El CESE subraya la necesidad de políticas que prevengan la creación de una brecha digital, en especial entre zonas urbanas y rurales, o entre países con distintos niveles de infraestructura tecnológica. A fin de hacer frente a este reto, la UE debe priorizar la inversión en infraestructuras digitales, incluido el despliegue de redes 5G y 6G, que son esenciales para el funcionamiento fiable y seguro de estas tecnologías. Además, debe desarrollarse una estrategia europea para garantizar que los pacientes, con independencia de su ubicación o situación socioeconómica, puedan beneficiarse de los avances en la atención médica.

 

 3.9. La robótica y el metaverso plantean nuevos riesgos de ciberseguridad, en especial en un contexto sanitario en que se tratan datos personales sensibles. El CESE destaca la importancia de garantizar la existencia de protocolos sólidos de ciberseguridad para proteger a los pacientes y las instituciones sanitarias frente a los ciberataques, lo que incluye la protección de los auriculares, los sistemas robóticos y las redes que los conectan. Además, deben establecerse directrices claras para la protección de datos, en particular en lo que respecta al flujo transfronterizo de datos sanitarios dentro del metaverso. Los pacientes deben mantener el control sobre sus datos, y cualquier uso de la IA en entornos médicos debe cumplir el marco normativo de la UE, incluido el Reglamento de Inteligencia Artificial.

 

 3.10. El CESE manifiesta su preocupación por el dominio que ejercen en los sectores de la robótica y el metaverso unas pocas grandes empresas tecnológicas con sede en los Estados Unidos. Dada la importancia fundamental que reviste la atención sanitaria para la vida de las personas, es esencial que Europa desarrolle sus propias capacidades tecnológicas y evite depender en exceso de corporaciones extranjeras. La UE debe fomentar un mercado europeo competitivo que estimule la innovación, manteniendo al mismo tiempo unos estándares éticos y normativos elevados.

4.   Recomendaciones técnicas

 4.1. La gestión de la cadena de suministro de componentes de software y hardware es crucial. Dicha gestión conlleva garantizar que las actualizaciones del software en el metaverso se ajusten a las capacidades físicas de los sistemas robóticos. Es esencial que las actualizaciones no interrumpan las operaciones médicas críticas, como las intervenciones quirúrgicas. Además, debe establecerse una responsabilidad clara para vigilar y responder a las amenazas emergentes, incluidos los ataques con programas de secuestro o las estafas que puedan comprometer la integridad del sistema.

 

 4.2. A la hora de integrar la robótica y el metaverso en la atención sanitaria, hay que tener en cuenta varios factores técnicos. Entre ellos se cuentan la disponibilidad de ancho de banda, la latencia y la fidelidad de los sistemas para garantizar un funcionamiento fluido y fiable. Hay que garantizar la conectividad, prestando especial atención a la compatibilidad electromagnética (CEM) y las interferencias, sobre todo en entornos críticos como los quirófanos. Las interfaces humanas, como los auriculares y los controles basados en gestos, también deben ser fiables, ergonómicas e intuitivas para los profesionales sanitarios.

 

 4.3. Cuando se utiliza la robótica junto con el metaverso, la seguridad es primordial. Una cuestión crítica es la precisión de la cartografía geoespacial, que garantiza que los sistemas robóticos puedan realizar acciones precisas. Es preciso detectar los posibles tipos de fallo, en particular los que podrían derivarse del metaverso, que actúa como capa intermedia entre el operador humano y el robot. Deben existir soluciones de emergencia, tanto manuales como automatizadas, que puedan emplearse en caso de fallo de los sistemas —por ejemplo, durante un fallo de alimentación— para garantizar que la seguridad del paciente no se vea comprometida.

5.   Ejemplos de robótica y del metaverso en el sector médico

 5.1. La cirugía robótica: el cirujano controla el robot desde una consola, lo que mejora la precisión quirúrgica y permite realizar intervenciones mínimamente invasivas. Aunque el robot está físicamente en el quirófano, se están realizando esfuerzos para integrar estos sistemas en las intervenciones quirúrgicas a distancia mediante telemedicina. Con el desarrollo del metaverso, el cirujano podría incluso operar dentro de un entorno virtual, interactuando con el robot a distancia.

 

 5.2. La NASA y la cirugía a distancia: la NASA ya está investigando sistemas robóticos que podrían permitir realizar intervenciones quirúrgicas en el espacio o en lugares remotos. La interacción entre las tecnologías del metaverso y la robótica potenciará de forma significativa estos avances, permitiendo un control inmersivo e intervenciones precisas.

 

 5.3. Simulaciones de realidad virtual para la formación médica: las universidades y los hospitales utilizan cada vez más plataformas de realidad virtual para la formación médica. Con la realidad virtual y el metaverso, los estudiantes y profesionales de la medicina pueden formarse en escenarios virtuales realistas, como la realización de intervenciones quirúrgicas o el diagnóstico de pacientes.

 

 5.4. Exoesqueletos para pacientes con limitaciones de movilidad: los exoesqueletos que ayudan a los pacientes durante su rehabilitación se integran cada vez más con sistemas virtuales. Un paciente podría caminar por un entorno virtual en el metaverso mientras se apoya físicamente en un exoesqueleto para recuperar sus funciones motoras.

 

 5.5. Entornos virtuales para el tratamiento psicológico: el metaverso puede utilizarse para crear entornos terapéuticos inmersivos en los que tratar a pacientes con trastornos de salud mental (como trastornos de ansiedad o trastornos por estrés postraumático). Gracias a la creación de escenarios virtuales controlados, los pacientes pueden superar determinados miedos o experimentar un procesamiento emocional.

Bruselas, 26 de febrero de 2025.

El Presidente

del Comité Económico y Social Europeo

Oliver RÖPKE

---

ELI: http://data.europa.eu/eli/C/2025/2008/oj

ISSN 1977-0928 (electronic edition)

DENEGACION DE ACCESO SOBRE EVALUACION DE IMPACTO RELATIVA A LA PROTECCION DE DATOS DE LA OFICINA DE PROPIEDAD INTELECTUAL DE LA UNION EUROPEA, EUIPO

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Mediante un Auto del Tribunal General del 5 de febrero de 2025 y publicado el 28 de abril de este mismo año, el colegiado decidió sobreseer el recurso y compartir las costas entre el demandante y la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) durante la pandemia, por la que se denegó la solicitud que había presentado con arreglo al Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión.

Se incluyen los motivos y alegaciones presentados en el Recurso interpuesto el 26 de junio de 2024 por el demandante.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_________________________________________________________________

Diario Oficial de la Unión Europea

ES Serie C

---

C/2025/2402

28.4.2025

Auto del Tribunal General de 5 de febrero de 2025 – EF/EUIPO

(Asunto T-316/24)  (1)

(Acceso a los documentos - Reglamento (CE) n.o 1049/2001 - Procedimientos de selección organizados a distancia por la EUIPO durante la pandemia de COVID-19 - Evaluación de impacto relativa a la protección de datos - Denegación de acceso - Decisión de permitir el acceso adoptada después de la interposición del recurso - Sobreseimiento)

(C/2025/2402)

Lengua de procedimiento: inglés

Partes

Demandante: EF (representante: H. Tettenborn, abogado)

Demandada: Oficina de Propiedad Intelectual de la Unión Europea (representantes: E. Lekan y A. Ketels-Salet, agentes)

Objeto

Mediante su recurso basado en el artículo 263 TFUE, el demandante solicita la anulación de la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) de 16 de abril de 2024 por la que se denegó la solicitud que había presentado con arreglo al Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO 2001, L 145, p. 43) con el fin de acceder a la evaluación de impacto relativa a la protección de datos de la EUIPO en lo que concierne a los procedimientos de selección llevados a cabo a distancia durante la pandemia de COVID-19.

Fallo

1)	Sobreseer el recurso.

2)	EF y la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) cargarán cada una con sus propias costas.

---

(1)   DO C, C/2024/4864 de 12.8.2024.

---

ELI: http://data.europa.eu/eli/C/2025/2402/oj

ISSN 1977-0928 (electronic edition)

___________________________________________________________________

Diario Oficial de la Unión Europea

ES Serie C

---

C/2024/4864

12.8.2024

Recurso interpuesto el 26 de junio de 2024 – EF/EUIPO

(Asunto T-316/24)

(C/2024/4864)

Lengua de procedimiento: inglés

Partes

Demandante: EF (representante: H. Tettenborn, abogado)

Demandada: Oficina de Propiedad Intelectual de la Unión Europea

Pretensiones

La parte demandante solicita al Tribunal General que:

—

Anule la decisión de la EUIPO de 16 de abril de 2024 por la que se denegó la solicitud presentada por el demandante con arreglo al Reglamento (CE) n.o 1049/2001 (1) con el fin de acceder a la evaluación de impacto relativa a la protección de datos de la EUIPO en lo que concierne a los procedimientos de selección llevados a cabo a distancia durante la pandemia de COVID-19.

—	Condene en costas a la EUIPO.

Motivos y principales alegaciones

En apoyo de su recurso, el demandante invoca el siguiente motivo, mediante el que alega que la EUIPO incumplió su obligación de dar cumplimiento a los artículos 2, apartado 1, y 4, apartados 1, letra a), primer guion, 2, 6 y 7 del Reglamento (CE) n.o 1049/2001.

—

El demandante aduce, en particular, en apoyo de sus alegaciones, que la EUIPO no le proporcionó la evaluación de impacto relativa a la protección de datos (EIPD) basándose en las excepciones previstas en el artículo 4, apartados 1, letra a), primer guion («seguridad pública»), y 2, primer guion («los intereses comerciales de una persona física o jurídica, incluida la propiedad intelectual»). Según el demandante, la EUIPO no ha demostrado en modo alguno cómo el hecho de permitir el acceso a dicha EIPD, que se refería únicamente a los procedimientos de selección llevados a cabo a distancia durante la pandemia de COVID-19, esto es, desde 2020 hasta 2022 como máximo, puede menoscabar la «seguridad pública» y los «intereses comerciales».

—

El demandante sostiene asimismo que existe un interés público superior en que de divulgue la EIPD solicitada, puesto que garantizar la transparencia y la igualdad de oportunidades en los procedimientos de selección de la UE, para preservar los altos estándares de las instituciones de la Unión y la confianza del público en la calidad del trabajo y las decisiones de las instituciones, es de gran interés público.

—

El demandante aduce asimismo que la EUIPO infringió el artículo 4, apartado 7, del Reglamento 1049/2001. Afirma que la EIPD relativa a los procedimientos de selección llevados a cabo a distancia durante la pandemia de COVID-19 no se ha utilizado desde al menos 2022 y que, dada la rapidez de los avances tecnológicos en esta área, un período de 4 años a partir de su introducción y de 2 años desde que dejó de usarse es más que suficiente para que no se tengan en cuenta las excepciones invocadas por la EUIPO.

—

Por último, el demandante alega que la EUIPO también infringió el artículo 4, apartado 6, del Reglamento 1049/2001. Afirma que la EUIPO habría podido y habría debido divulgar una versión expurgada del documento, puesto que no es posible concebir cómo la divulgación de una versión expurgada no tendría suficientemente en cuenta las consideraciones invocadas por la EUIPO, que, según ella, justifican las excepciones invocadas.

---

(1)  Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO 2001, L 145, p. 43).

---

ELI: http://data.europa.eu/eli/C/2024/4864/oj

ISSN 1977-0928 (electronic edition)

TIP # 14 PRINCIPIO U OBLIGACION DE CONFIDENCIALIDAD EN LA PROTECCION DE LOS DATOS PERSONALES - RGPD VS NORMATIVA PERUANA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

La interrogante es válida sí queremos diferenciar sus alcances y el ámbito de aplicación, tanto como la interpretación u  obligación concreta de las normas aplicables a la protección de los datos personales.

Los Principios son normas generales, abstractas y orientadoras  que guían la interpretación, aplicación y creación de normas jurídicas. Los principios no establecen conductas específicas aplicables a cada caso de figura sino son reglas y valores aplicables a las normas.  Los principios tienden a ser interpretados, considerados, a fin de evaluar su influencia y aplicación en cada caso concreto.

Las obligaciones sí establecen vínculos jurídicos concretos que obligan a una persona a realizar una conducta o un acto determinado (dar, hacer o no hacer) en favor de otra persona, pudiéndosele exigir su ejecución legalmente.  Las obligaciones son específicas y tienen un alcance delimitado.

Podemos concluir entonces que la principal diferencia es que los principios son directrices generales que orientan el ordenamiento jurídico y requieren interpretación, mientras que las obligaciones son actos jurídicos concretos, de obligaciones específicas aplicables y exactas, y que su inejecución puede ser requerida legal y/o judicialmente.

El problema es que la principal norma de protección de los datos personales, el Reglamento General de Protección de Datos Personales Europeo N° 2016/679/CE, RGPD, considera la confidencialidad  como un Principio, mientras la normativa peruana Ley N° 29733 y su Reglamento reciente D.S. N° 003/ /2024/JUS, lo asocian a una obligación o un deber.

1.      EL PRINCIPIO DE CONFIDENCIALIDAD EN EL RGPD

Uno de los principios del tratamiento de los datos personales es el principio de confidencialidad, el mismo que ha sido señalado como tal en los Considerandos y en la parte resolutiva del RGPD.

1.1. Parte Considerativa

(39)Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas  debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(49)Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

 

(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado debe evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

(162) El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros. Por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos. Estos resultados estadísticos pueden además utilizarse con diferentes fines, incluidos fines de investigación científica. El fin estadístico implica que el resultado del tratamiento con fines estadísticos no sean datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas.

(163) Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos fijados en el artículo 338, apartado 2, del TFUE, mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. El Reglamento (CE) n.^o 223/2009 del Parlamento Europeo y del Consejo facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

 

1.2.Parte Dispositiva

a.      Disposiciones.

El Artículo 5.1.f del RGPD exige que los datos personales sean tratados de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas, organizativas y legales adecuadas.

CAPÍTULO II

Principios

Artículo 5

Principios relativos al tratamiento

1.   Los datos personales serán:

 

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El Artículo 14.5.d del  RGPD sobre Información que deberá facilitarse cuando los datos personales no hayan sido recabados del propio interesado

d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

El Artículo 28.3.b del RGPD sobre el Encargado del tratamiento, señala que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico que garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

Sección 1

Obligaciones generales

Artículo 28

Encargado del tratamiento

3.   El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

 

b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

 

El Artículo 32.1.b del RGPD sobre la seguridad del tratamiento, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento

 

 

Sección 2

Seguridad de los datos personales

Artículo 32

Seguridad del tratamiento

1.   Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

 

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

El Artículo 38.5. del RGPD sobre la Posición del Delegado de Protección de Datos Personales, estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

Sección 4

Delegado de protección de datos

Artículo 38

Posición del delegado de protección de datos

5.   El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

El Artículo 54.2 del RGPD sobre Normas relativas al establecimiento de la Autoridad de Control.

 

Artículo 54

Normas relativas al establecimiento de la autoridad de control

2.   El miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dicho deber de secreto profesional se aplicará en particular a la información recibida de personas físicas en relación con infracciones del presente Reglamento.

El Artículo 76.1. del RGPD sobre el Comité Europeo de Protección de Datos Personales, Confidencialidad, resuelve facultando al Comité que sus debates serán confidenciales cuando el mismo lo considere necesario, tal como establezca su reglamento interno.

 

Sección 3

Comité europeo de protección de datos

Artículo 76

Confidencialidad

1.      Los debates del Comité serán confidenciales cuando el mismo lo considere necesario, tal como establezca su reglamento interno.

 

b.     Sanciones por incumplimiento

El RGPD es un régimen sancionador muy estricto. Las infracciones del principio de privacidad sólo se consideran graves, especialmente si implican violaciones de seguridad o acceso no autorizado a datos personales.

 

1.- Sanciones económicas

 

·        Hasta 10 millones de euros o el 2% del volumen global anual de comercio (y la mayoría), por infracciones leves (art. 83.4 RGPD).

 

·   Hasta 20 millones de euros o el 4% del volumen de comercio mundial anual (que es el mayor), si la infracción afecta a los derechos y libertades de las personas jurídicas, y especialmente si la violación de la confidencialidad tiene consecuencias graves (art. 83.5 RGPD).

 

2.- Otras sanciones

 

·        Cese del tratamiento de datos.

·        Obligación de comunicar la brecha de seguridad a la Agencia de Protección de Datos y a las personas afectadas.

·        Responsabilidad civil por daños y perjuicios a los titulares de datos.

·        Daño a la reputación y pérdida de confianza de los usuarios y clientes.

 Ejemplo práctico

Una empresa, organización en el rubro de datos relacionados a la salud, que permita, por error, desconocimiento o negligencia, el acceso de personas no autorizadas a información personal de sus pacientes, personas discapacitadas, usuarios (Historias clínicas, registros médicos, datos genéticos, biométricos, análisis psiquiátricos,…), viola el principio de confidencialidad y es sujeto susceptible de imposición de sanciones por las autoridades de control, además de la exigencia de notificación a los afectados.

El RGPD, a diferencia de las Directivas que requieren que cada Estado genere una ley nacional para implementarlas o transponerlas, se aplica directamente a todos los países que forman la Union Europea. El RGPD ha creado un marco de protección de datos homogéneo, válido para todos los países de la UE, evitando las diferencias entre las legislaciones nacionales que existían bajo la anterior Directiva 95/46/CE derogada por el propio RGPD.

2.      LA OBLIGACION O DEBER DE CONFIDENCIALIDAD EN LA NORMATIVA PERUANA.

Las obligaciones de confidencialidad en la normativa peruana provienen de: la Ley N° 29733, su Reglamento, D.S. N° 006-2024-JUS, La Directiva N° 001-2014-JUS-DGPDP Ley que adecúa el uso de las TICs en el Sistema de Remates Judiciales, el Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR y la Directiva de Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.

2.1. Ley N° 29733

·  La Ley N° 29733 ha previsto dos artículos sobre la obligación de la confidencialidad: Artículo 1.10 Objeto de la Ley y Artículo 3.12 Definiciones, ambos con el mismo título: Nivel suficiente de protección para los datos personales. Ver: Lámina Power point 14-1.

·     El artículo 14.11 Limitaciones al consentimiento para el tratamiento de datos personales, referido a las salvaguardas de los datos personales en el caso de grupos económicos. Ver: Lámina Power point 14-2.

·       El artículo 17. Confidencialidad de los datos personales, por parte del titular de los bancos de datos, el encargado y toda persona interviniente en el tratamiento, incluyendo determinadas limitaciones. Ver Lámina: Power point 14-3.

·        El artículo 35. Confidencialidad, por parte del personal de la Autoridad Nacional de Protección de Datos, la duración de esta obligación y las responsabilidades. Ver: Lámina Power point 14-4.

2.2.  Reglamento de la Ley N° 29733  D.S. N° 006-2024-JUS

·      El artículo 29.3 Criterios a considerar para el tratamiento de datos personales por medios tecnológicos tercerizados, en el que para su realización debe considerarse como prestación mínima: garantizar la confidencialidad de los datos personales sobre los cuales se preste el servicio. Ver: Lámina Power point 14-5.

·      El artículo 60.2 Contenidos, asociado a los Códigos de conducta adecuados a la Ley que incluye como mínimo mecanismos para asegurar la confidencialidad. Ver: Lámina Power point 14-6.

·    El artículo 133.11 Infracciones graves, que señala como tal la obligación de  confidencialidad el incumplimiento del artículo 17 de la Ley. Ver: Lámina Power point 14-7.

2.3.Directiva N° 001-2014-JUS-DGPDP Datos Personales vinculados a Programas Sociales

·    VI Disposiciones Específicas.6.4 en sus Lineamientos de confidencialidad establece que tanto el MIDIS como las entidades que administran programas sociales y subsidios del estado deberán definir los lineamientos dirigidos a garantizar la seguridad y confidencialidad de la información que administran… Ver: Lámina Power point 14-8.

2.4.Ley N° 30029. Artículo 4a); 4b) de la  Ley que adecua el uso de las TICs en el Sistema de Remates Judiciales.

·    El Artículo 4a) y 4b) ordena que el Poder Judicial debe cumplir a) con las exigencias de administrar la información contenida en el Sistema de Remates Electrónicos Judiciales, y b) Garantizar, bajo responsabilidad administrativa, civil o penal a que hubiera lugar, la confidencialidad de la identidad de los usuarios postores, así como la integridad, disponibilidad, confiabilidad y trazabilidad de la información ingresada. Ver: Lámina Power point 14-9.

·      El Artículo 6 establece que todos aquellos que intervengan en la gestión de la información del Remate Electrónico Judicial están obligados a guardar su confidencialidad, acorde con la Constitución, Ley N° 29733 y demás normas, bajo responsabilidad. Ver: Lámina Power point 14-10.

2.5.Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR.

El Artículo 10.1; 10.2 De la confidencialidad de la información prevé que los funcionarios y servidores de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR, DGJCMT, están obligados a guardar confidencialidad de la información contenida en el Registro. Ver: Lámina Power point 14-11.

El Artículo 20.1; 20.2 De la confidencialidad del Dictamen ordena que el Dictamen que emita la Junta Médica para el diagnóstico de la ludopatía, colegiada e individualmente, está obligada a guardar confidencialidad de su dictamen, y que éste poda ser entregado a la familia que solicito el diagnostico a inscribir en el Registro de personas prohibidas de acceder a salas de juego de casino y máquinas tragamonedas, a cargo de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR. Ver: Lámina Power point 14-12.

2.6.Directiva de Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.

1.      DISPOSICIONES GENERALES

1.3. Requisitos de Seguridad

  1.3.1. Cumplimiento de requisitos

Ítem	Requisito	Aplica a la Categoría de Tratamiento :
		Básico	Simple	Intermedio	Complejo	Crítico
1.3.1.8	Desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de datos personales (artículo 17 de la Ley N° 29733), aplicable al personal relacionado con el tratamiento de datos personales.	Declaración jurada simple indicando nombres, apellidos, DNI y firme (puede estar incluido en el cuaderno de seguridad (ver anexo B).	Declaración jurada simple indicando nombres, apellidos, DNI  y firme (puede estar incluido en el cuaderno de seguridad (ver anexo B).	incorporar el requisito dentro de los formatos, procedimientos o procesos apropiados en la organización	incorporar el requisito dentro de los formatos, procedimientos o procesos apropiados en la organización	incorporar el requisito dentro de los formatos, procedimientos o procesos apropiados en la organización

 

2.3. Medidas de Seguridad Técnicas

2.3.2. Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales.

 

2.3.2.4. Seguridad en la copia o reproducción de documentos.

 

Cuando sea necesario, el titular del banco de datos personales debe designar a las personas autorizadas a generar y/o eliminar fas copias o reproducciones de los datos personales.

 

Se deben implementar las siguientes medidas para preservar la confidencialidad de los datos personales:

 

a) Utilizar impresoras, fotocopiadoras, scanner u otros equipos de reproducción autorizados.

b) Supervisar el proceso de copia o reproducción de los documentos.

No dejar desatendido el equipo.

 

c) Retirar los documentos originales y las copias del equipo inmediatamente después de finalizada la copia o reproducción.

Se deben registrar las copias o reproducciones de los documentos con
datos personales realizadas indicando como mínimo:

 a)     Nombre de la persona que solicita la copia

b)     Nombre de la persona autorizada a realizar copias.

c)     Descripción de los datos personales copiados.

d)     Número de copias.

e)     Motivo.

f)       Nombre de la persona que recibe la copia.

g)     Lugar de destino.

h)     Periodo de validez de la copia.

Las copias o reproducciones de los documentos deben tener una marca

que identifique el periodo de validez de las mismas.

 

2.3.4.5. Medidas específicas

Ítem	Requisito	Aplica a la Categoría de Tratamiento :
		Básico	Simple	Intermedio	Complejo	Crítico
2.3.4.5.	Toda información electrónica que contiene datos personales debe ser almacenada en forma segura empleando mecanismos de control de acceso y cifrada para preservar su confidencialidad.	Opcional	Opcional	Requerido	Requerido	Requerido
2.3.4.6.	La información de datos, personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad.	Opcional	Implementar ítem 2.3.5.3	Implementar ítem 2.3.5.3	Implementar ítem 2.3.5.3	Implementar ítem 2.3.5.3
2.3.4.9.	Todo evento identificado que afecte la confidencialidad, integridad y disponibilidad de los datos personales, o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.	Registrar el incidente con una descripción                                     12.3.5.7                                  2357 detallada del mismo  y     las     medidas  correctivas adoptadas   (pueden estar registradas en el    cuaderno    de seguridad citado en el anexo B).	Implementar ítem 2.3.5.7	Implementar ítem 2.3.5.7	Implementar ítem 2.3.5.7	Implementar ítem 2.3.5.7

 

A manera de Conclusión:

Existen diferencias marcadas entre los conceptos de Principios de Confidencialidad, en la normativa europea, respecto a las Obligaciones de Confidencialidad, en la legislación peruana. 

Mientras en el primero, los Principios del RGPD se caracterizan por ser generales, abstractos y orientadores, basados en reglas, valores, en el segundo, la legislacion peruana  postula normas específicas y aplicables a vínculos jurídicos y conductas concretas.

En los Considerandos del RGPD se tienen en cuenta varios alcances referidos al principio de confidencialidad en el tratamiento de los datos personales: en relación a la seguridad adecuada para impedir el acceso o el uso no autorizado de los mismos; o los acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos conservados o transmitidos; o que puedan dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.

Otros Considerandos apuntan a la responsabilidad del encargado o responsable del tratamiento en la evaluación de riesgos, la aplicación de medidas para mitigarlo, teniendo en cuenta el estado de la técnica, los costes de su aplicación; los plazos para notificar a la autoridad de control, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas; y la aplicación del principio de confidencialidad al tratamiento de datos personales con fines estadísticos, como datos agregados, y que el resultado o los datos personales no sean utilizados para respaldar medidas o decisiones relativas a personas físicas concretas; y su contribución como parte de la confidencialidad a la estadística europea.

La Parte Dispositiva del RGPD se centra en el Artículo 5.1.f del RGPD ordenando el tratamiento de los datos personales de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas, organizativas y legales adecuadas.

El Artículo 14.5.d del  RGPD incide sobre la Información que deberá facilitarse cuando los datos personales no hayan sido recabados del propio interesado.

El Artículo 28.3.b señala que el tratamiento de datos personales por el encargado, responsable se regirá por un contrato u otro acto jurídico garante del compromiso de las personas autorizadas para tratar datos personales a respetar la confidencialidad o se encuentren sujetas a una obligación de confidencialidad de naturaleza estatutaria.

El Artículo 32.1.b sobre la seguridad del tratamiento, ordena que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo;

 

El Artículo 38.5. sobre la Posición del Delegado de Protección de Datos Personales, revela la obligación de éste a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

 

Igualmente el Artículo 54.2 del RGPD sobre Normas relativas al establecimiento de la Autoridad de Control, decidiendo que el miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes.

 

La misma facultad propone el Artículo 76.1 del RGPD sobre el Comité Europeo de Protección de Datos Personales, acerca de la confidencialidad, de sus debates, los mismos que serán confidenciales cuando este mismo colegiado lo considere necesario, tal como se establezca en su reglamento interno.

 

Finalmente, el RGPD impone severas sanciones económicas y otras sanciones en caso de incumplimiento.

La normativa peruana relativa a la obligación de confidencialidad se asienta en cinco textos normativos muy distantes del enfoque europeo basado en el Principio de Confidencialidad:

 

·        La Ley N° 29733, trata en el concepto de Nivel suficiente de protección de datos la obligación de confidencialidad. Artículo 1.10 Objeto de la Ley y Artículo 3.12 Definiciones.  

     Las Limitaciones al consentimiento para el tratamiento de datos personales, referido a las        salvaguardas de los datos personales, en el artículo 14.11.

 

La confidencialidad de los datos personales, por parte del titular de los bancos de datos, el encargado y toda persona interviniente en el tratamiento en el artículo 35.

 

Y finalmente, la Confidencialidad, por parte del personal de la Autoridad Nacional de Protección de Datos, la duración de esta obligación y las responsabilidades en el artículo 35.

 

·    El Reglamento de la Ley N° 29733  D.S. N° 006-2024-JUS, estable en los Criterios a considerar para el tratamiento de datos personales por medios tecnológicos tercerizados, la Garantía de la confidencialidad en el artículo 29.3; los mecanismos para asegurar la confidencialidad en el Contenido de los Códigos de conducta, artículo 60.2; y el incumplimiento de la obligación de confidencialidad como Infracción muy grave en el artículo 133.11

 

·    La Directiva N° 001-2014-JUS-DGPDP Datos Personales vinculados a Programas Sociales establece en las VI Disposiciones específicas, 6.4 los lineamientos de confidencialidad  de la información que administran.

 

·   La Ley N° 30029. Ley que adecúa el uso de las TICs en el Sistema de Remates Judiciales ordena al Poder Judicial el cumplimiento de Artículo 4a); las exigencias de administrar la información contenida en el Sistema de Remates Electrónicos Judiciales, y 4b): garantizar, bajo responsabilidad administrativa, civil o penal a que hubiera lugar, la confidencialidad de la identidad de los usuarios y otros.; y las exigencias de la confidencialidad, de otros intervinientes en la gestión de la información del Remate Electrónico Judicial. Artículo 6.

 

·     El Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR sobre la Confidencialidad de la información prevé que los funcionarios y servidores de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR, DGJCMT, están obligados a guardar confidencialidad Artículo 10.1. Así mismo está obligada a guardar confidencialidad del Dictamen que emita la Junta Médica para el diagnóstico de la ludopatía, colegiada e individualmente Artículo 10.2.

 

·   La Directiva de Seguridad de la Información, aprobada por R.D. N° 019-2013-JUS/DGPDP, en las 1. DISPOSICIONES GENERALES, 1.3. Requisitos de Seguridad,   1.3.1. Cumplimiento de requisitos, el ítem 1.3.1.8 plantea como Requisito: Desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de datos personales, aplicable a las cinco categorías de tratamiento.

 

En 2.3. Medidas de Seguridad Técnicas, 2.3.2. Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales, 2.3.2.4. Seguridad en la copia o reproducción de documentos, indica que el titular del banco de datos personales debe designar a las personas autorizadas a generar y/o eliminar fas copias o reproducciones de los datos personales. Debiéndose implementar determinadas medidas para preservar la confidencialidad de los datos personales.

 

En 2.3.4.5. Medidas específicas, plantea como Requisito: Toda información electrónica que contiene datos personales debe ser almacenada en forma segura empleando mecanismos de control de acceso y cifrada para preservar su confidencialidad. Agregando que la información de datos, personales que se transmite electrónicamente  debe ser protegida para preservar su confidencialidad e integridad. El Requisito de esta medida es opcional para la Categoría de Tratamiento Básico, pero Requerido para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

 

En 2.3.4.6. Medidas específicas, se instituye que la información de datos,
personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad. El Requisito de esta medida es opcional para la Categoría de Tratamiento Básico, pero Requerido para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

 

Y finalmente, en 2.3.4.6. Medidas específicas, se establece que Todo evento identificado que afecte la confidencialidad, integridad y disponibilidad de los datos personales, o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.  El Requisito de esta medida es Registrar el incidente con una descripción detallada del mismo y las medidas correctivas adoptadas para la Categoría de Tratamiento Básico, e Implementar el ítem 23.5.7.  para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

 

Finalmente, el principio de confidencialiad de los datos personales del RGPD es un concepto abstracto, orientador, sujeto a interpretación que permiten definir la finalidad, el ámbito y el alcance del tratamiento. Mientras las obligaciones de confidencialidad son normas, acciones concretas, especificas de poco margen teleológico.