Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Una de las características mayores de las tecnologías
relacionadas a la información ha sido la posibilidad de asociar el cómputo, memorización
y asociación lógica a las comunicaciones de alcance global.
Ello permite ahora en la era digital actual, la
transferencia internacional de datos y particularmente de los datos personales.
El marco legal de referencia internacional para el Perú reposa en dos principales
normas: el Reglamento (UE) 2016 679 del Parlamento Europeo y del Consejo sobre el
tratamiento de datos y la libre circulación, RGPD, y la Directiva 2002 58 CE del
Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales
y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
Esta última no ha sido bien interpretada ni mucho menos acogida en la normativa
peruana relativa a la protección de los datos personales.
La transferencia internacional de datos mejora sustancialmente
los tiempos y plazos para la producción y productividad física de bienes y servicios
como digitales, pero a su vez puede ser fuente de amenazas y riesgos graves riesgos
para los derechos y libertades de la persona humana, en su privacidad y seguridad,
si no se establece estrategias, lineamientos, políticas, normas para su regulación
y cumplimiento.
Una de las innovaciones de las normas europeas arriba mencionadas, como de otras normas complementarias, fue la de incluir el concepto de transferencias de datos de y hacia la UE. Este nuevo marco legal debiera habernos ofrecido las garantías adecuadas en relación con las libertades y derechos de los titulares de los datos personales.
Los países de América Latina, y entre ellos el Perú, incluyeron entre sus fuentes legislativas para su marco normativo no solamente el Reglamento y la Directiva arriba mencionados sino también la legislación española. En particular la Ley Orgánica 5/1992 que dio origen al Proyecto de Ley inicial en el Perú y que fuera reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales, transponiendo la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogada después por el Reglamento (UE) 2016/679.
El artículo 15 de la Ley N° 29733 se refiere al Flujo transfronterizo de Datos, que establece como principal criterio para ello los niveles de protección adecuado entre emisor y receptor de los datos; o, de no contar el país destinatario con un nivel adecuado, el emisor debe garantizar que el tratamiento se realiza conforme a Ley. Sin embargo, el mismo artículo plantea algunas excepciones en este último supuesto. Los Tips #10 y siguientes esquematizan estos supuestos.
La Autoridad Nacional de Protección de Datos de Perú estableció en 2013 la Directiva de Seguridad de la Información, la misma que fue aprobada por R.D. N° 019-2013-JUS/DGPDP, en la cual se fijan las normas técnicas y legales sobre los niveles de protección adecuados, además de la aplicación supleme,ntaria por las Normas ISO 27001- 27005, 27701, 30001.
Cabe, sin embargo, tomar en cuenta al menos
dos amenazas en la transferencia internacional de
datos: una de ellas relativa al alcance de las reglas de extraterritorialidad.
Estas reglas se encuentran
en el inciso 2 del artículo 3 del RGPD e instauran una serie de presunciones mediante
las cuales los titulares, encargados y/o responsables de los bancos de datos o tratamiento
de datos personales, domiciliados fuera del territorio de la Unión Europea pueden
quedar sujetos a las reglas establecidas en el RGPD, al seguimiento y control de
los tratamientos por parte de las autoridades de los Estados miembros de la Unión
Europea y a su régimen sancionador.
La segunda amenaza proviene de la globalización y digitalización actual y la enorme cantidad de transferencias internacionales de datos y datos personales en particular, que por diferentes razones realizan las empresas u organizaciones, que generan potenciales o sucesivos accesos de diversos actores: titulares de banco de datos, encargados y responsables de tratamiento, incluso terceros, cesionarios, subcontratistas situados dentro y fuera del país, o en la Union Europea, o en centros de datos de tratamiento físicos o en la nube, que impiden una posible competencia o jurisdicción en el caso de diferendos.
A fin
de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse
comunicar al correo electrónico:cferreyros@hotmail.com
No hay comentarios:
Publicar un comentario