ÁMBITO DE APLICACIÓN: LEY N° 29733 LEY DE PROTECCIÓN DE DATOS PERSONALES, RGPD Y EXTRATERRITORIALIDAD.

 

Introducción

El concepto de ámbito de aplicación de la Ley y la vigencia del Nuevo Reglamento de Protección de Datos Personales en el Perú atraen la atención sobre algunas referencias legislativas en los cuales se basa y en algunos presupuestos fácticos perturbadores.

Las referencias  legislativas de la Ley y el reglamento de Protección de Datos en el Perú ha sido, principalmente, el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Otras referencias complementarias no han sido incluidas. La Directiva 2002 58 CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas,  la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior y las normas sobre Reglamento (UE) 2022/1925 sobre mercados disputables y equitativos en el sector digital (Reglamento de Mercados Digitales), y el Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales.

Los presupuestos fácticos perturbadores se sustentan en una fuerte tendencia de cambios autoritarios propuestos por la actual administración estadounidense al modelo global de mercado y comercio liberal sujeto a las normas de la Organización Mundial de Comercio, basada en prácticas proteccionistas y de reingeniería industrial más competitiva.

Y por los efectos en Perú sobre los temas de inseguridad generalizada, y de hackeo y filtración especifica de la base de datos de identidad del Registro Nacional de Identificación y Estado Civil, RENIEC, aunados a los imperativos de adecuación al nuevo Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales.

Los conceptos de ámbito de aplicación de la ley, en materia de protección de datos personales, se encuentran presentes en la Ley y en su nuevo Reglamento, no obstante, en ambos instrumentos, su efecto es restringido.

En el nuevo Reglamento ha habido un mayor análisis, precisándose que el tratamiento puede realizarse: aun cuando no se encuentre en un banco de datos personales; se aplica independientemente del soporte en que se encuentre; no se excluye del ámbito de aplicación de la ley a pesar de la existencia de normas o regímenes particulares o especiales aplicables a las personas jurídicas públicas o privadas, aun cuando incluyan regulaciones sobre datos personales; y finalmente, conforme a lo dispuesto en la línea anterior, no implica ni derogatoria ni inaplicación de las normas particulares.

1.   AMBITO DE APLICACIÓN EN LA LEY N° 29733  Y REGLAMENTO - PERU

La presente Ley es de:

Aplicación -Tratamiento de datos personales en el territorio nacional	NO Aplicación - Tratamiento de datos personales en el territorio nacional
Datos personales contenidos o destinados a ser contenidos en Banco de Datos Personales: ·        Administración pública ·        Administración privada	1. A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar.
	2. A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito

Artículo 3. Ámbito de aplicación

4.1 El presente Reglamento es de aplicación al tratamiento de los datos personales, aun cuando no se encuentren en un banco de datos personales.	4.2 Se aplica a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, entidades públicas o instituciones del sector privado, independientemente del soporte en el que se encuentren.
4.3 La existencia de normas o regímenes particulares o especiales, aun cuando incluyan regulaciones sobre datos personales, no excluye a las entidades públicas o instituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del presente Reglamento.	4.4 Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.

NR Artículo IV.

 2.   AMBITO DE APLICACIÓN EN LA NORMATIVA EUROPEA DE PROTECCION DE DATOS Y NORMAS CONCORDANTES.

El ámbito de aplicación de la Ley de Protección de Datos Personales en la Unión Europea se sustenta en varios cuerpos legislativos transversales y concordantes. En comparación con el ámbito de aplicación en Perú mencionaremos solo cuatro referencias. Y destacaremos un elemento crucial que no está siendo tomado en cuenta en el Perú en la adecuación a su normativa: la regla de extraterritorialidad.

2.1.  Cuerpos legislativos.

Los relativos a la privacidad e intimidad (Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos); a la privacidad e intimidad en el sector de las comunicaciones electrónicas (Directiva 2002 58 CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas); los datos personales en el comercio electrónico (Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior); los datos personales en el mercado digital (Reglamento (UE) 2022/1925 sobre mercados disputables y equitativos en el sector digital (Reglamento de Mercados Digitales), y los datos personales en el mercado de servicios digitales (Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales).

El Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos regula el concepto de ámbito de aplicación, diferenciando su aplicación material,  de su aplicación territorial.

1. Ámbito de aplicación material.

El artículo 2, se aplica al tratamiento total o parcial de datos personales, automatizado o no, contenidos o destinados a ser contenidos en un fichero.

 

Sin perjuicio de la aplicación de otras normas complementarias, particularmente, la referida al: comercio electrónico y a las responsabilidades de los prestadores de servicios; en los casos de Mera transmisión, Memoria Tampón (Caching); Alojamiento de datos; y de Inexistencia de obligación general de supervisión.

Artículo 2 Ámbito de aplicación material.

El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

 

El Reglamento (UE) 2016/679 se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior, en particular las normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.

 

Artículo 12 Mera transmisión

1. Los Estados miembros garantizarán que, en el caso de un servicio de la sociedad de la información que consista en transmitir en una red de comunicaciones, datos facilitados por el destinatario del servicio o en facilitar acceso a una red de comunicaciones, no se pueda considerar al prestador de servicios de este tipo responsable de los datos transmitidos

 

Artículo 13 Memoria tampón (Caching)

1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de éstos

 

Artículo 14 Alojamiento de datos

1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario,

2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios.

3. El presente artículo no afectará la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos.

 

Artículo 15 Inexistencia de obligación general de supervisión

1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14.

2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento.

 

b.  Ámbito de aplicación territorial.

El Artículo 3 presenta tres supuestos:

 

b.1 El inciso 1. referido a la aplicación al tratamiento de actividades de un establecimiento de un responsable o encargado en la Unión Europea, independientemente de que el tratamiento tenga lugar allí o no. La diferencia con la aplicación de la Ley y Reglamento en Perú es que este se circunscribe solo al territorio nacional.

 

b.2 El inciso 3. referido al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público. Su relación con el inciso precedente es una variante: se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros es de aplicación en virtud del Derecho internacional público.

 

b.3 El inciso 2. se encuentra asociado a la regla de la extraterritorialidad y subraya un sorpresivo como probable efecto en la normativa peruana.

 

Artículo 3 Ámbito territorial

 

1.   El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.   El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

 

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3.   El presente Reglamento se aplica al tratamiento de datos personales por parte de un  responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

.

 2.2. Regla de Extraterritorialidad.

La principal innovación en la aplicación del RGPD es la introducción de reglas específicas de extraterritorialidad. Esta reglas se encuentran en el inciso 2 del artículo 3 del RGPD e instauran una serie de presunciones mediante las cuales los titulares, encargados y/o responsables de los bancos de datos o tratamiento de datos personales, domiciliados fuera del territorio de la Unión Europea  pueden quedar sujetos a las reglas establecidas en el RGPD, al seguimiento y control de los tratamientos por parte de las autoridades de los Estados miembros de la Unión Europea y a su régimen sancionador.

Esta tendencia impulsada por la digitalización, comunicación, redes facilitaba el acceso a mercados y servicios digitales de usuarios finales europeos a empresas y organizaciones fuera de la Unión Europea sin necesidad de domicilios físicos por lo que cada vez más se fue ampliando el ámbito de aplicación territorial.

A manera de Conclusión.

1.  Podemos afirmar que el concepto de ámbito de aplicación de la Ley y del vigente Reglamento de Protección de Datos Personales en el Perú, no ha logrado ser plenamente analizado ni menos incorporar algunos conceptos legislativos provenientes de la Unión Europea, presentando algunos vacíos e incertidumbres jurídicas y legales.

2. Los supuestos y alcances sobre la regla de extraterritorialidad no han sido materia de lineamientos ni regulación particulares por la Autoridad Nacional de Protección de Datos Personales, ni tomados en cuenta por los Estudios o Gabinetes Jurídicos en la oferta de adecuación de empresas y organizaciones a las innovaciones propuestas por el Nuevo Reglamento de Protección de Datos Personales.