Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

viernes, 30 de mayo de 2014

ABOGADOS, PRINCIPIOS, DERECHOS Y MISIONES DE LA AUTORIDAD NACIONAL EN LA LEY DE PROTECCION DE DATOS PERSONALES.

La multiplicación actual de dispositivos de trazabilidad en el espacio y en el tiempo, y la conexión permanente a Internet, portan en ellos riesgos potenciales a las libertades fundamentales y a la vida privada del individuo, rediseñando un nuevo rol del abogado, aparentemente análogo y complementario a aquel de la Autoridad Nacional de Protección de Datos Personales, ANPDP.

Todavía es prematuro para examinar algunas tendencias que las reuniones y encuentros nacionales y regionales a celebrarse entre la ANPDP y los Colegios de Abogados aportarán en todo el territorio nacional sobre el tema. Sin embargo, pareciera que sus misiones sean similares: ambas instituciones deben asegurarse que todo ciudadano se encuentre en capacidad de conocer estas nuevas herramientas (inclusión), las amenazas de la conexión permanente y la defensa de sus derechos. De estos intercambios se engendrará la voluntad de elaborar lineamientos y guías concertadas en el marco de Convenios idóneos.

Estos acuerdos también deberán prever el desarrollo de cursos especializados en protección de datos personales en la profesión de abogado y en ambas estructuras representativas, incluyendo la creación de la especialidad de Corresponsal o Representante en Protección de Datos Personales.

Por supuesto, los abogados, de un lado, y la Autoridad Nacional, del otro, conservarán en un primer momento, su plena independencia pero obrarán, uno al lado del otro, para asegurar, en última instancia, la protección de la vida privada. En un segundo momento deberán establecerse relaciones igualmente paritarias entre los archiveros y documentalistas, informáticos y telemáticos y la ANPDP. Es en el espíritu de ese primer momento que proponemos este artículo.

Este artículo se presente en dos partes, la primera parte, hoy, la segunda a fines de junio 2014:

A. Cinco principios fundamentales a respetar

B. Cinco misiones de la ANPDP

A. Cinco principios fundamentales a respetar

La Ley de Protección de Datos establece ocho Principios que deben observarse en la colecta, tratamiento y conservación de datos personales:

Artículo 4. Principio de legalidad

Artículo 5. Principio de consentimiento

Artículo 6. Principio de finalidad

Artículo 7. Principio de proporcionalidad

Artículo 8. Principio de calidad

Artículo 9. Principio de seguridad

Artículo 10. Principio de disposición de recurso

Artículo 11. Principio de nivel de protección adecuado

El Reglamento reconoce solo cuatro de ellos:

Artículo 7.- Principio de consentimiento.

Artículo 8.- Principio de finalidad.

Artículo 9.- Principio de calidad.

Artículo 10.- Principio de seguridad

La Resolución Directoral N° 019-2013-JUS/DGPDP reconoce los mismos ocho Principios previstos en la Ley, (Ver Anexo B).

Por nuestra parte, hemos seleccionado solo cinco Principios:

· Principio de finalidad

· Principio de proporcionalidad

· Principio de calidad

· Principios de seguridad y privacidad

· Principio de respeto de los derechos de las personas,

No hemos tomado en cuenta el Principio de legalidad, porque este se encuentra implícito en la promulgación de la Ley, su Reglamento y la diferente normativa: base legal y concordante con estos instrumentos.

El Principio de consentimiento se encuentra incluido en el Principio de respeto de los derechos de las personas. El Principio de disposición de recurso correspondería a la pluralidad de instancias prevista en la doctrina del derecho procesal, por lo que resulta irrelevante considerarla en la Ley y su Reglamento a menos de ser reiterativo, máxime si este Principio no le ha sido reconocido a la Autoridad Nacional de Protección de Datos Personales, ni otorgado jurisdicción administrativa en primera instancia, ni ser un organismo independiente de alguno de los Poderes del Estado.

Finalmente, el Principio de nivel de protección adecuado reposa sobre la autorización de transferencia de datos personales de un Estado a un tercer país que garantice un nivel de protección adecuado; por el contrario, no se autorizará la transferencia a terceros países que no dispongan de tal nivel de protección, salvo excepciones. Este Principio, de acordársele tal reconocimiento, relevaría más del Principio de seguridad y privacidad.

1. El Principio de finalidad: marco de uso de los archivos[1].

Los datos personales “deben ser recopilados (colectados y tratados) para una finalidad determinada, explícita y legítima[2]”, las mismas que corresponden a las misiones del abogado responsable del tratamiento. Como responsable del tratamiento de algún dato personal, los profesionales, incluyendo los abogados, “además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional[3]”.

Así, a título ilustrativo, cuando algún profesional accede al servidor profesional de datos personales del RENIEC, este acto no deberá afectar la vida privada de la persona a la cual se refieren esas informaciones o utilizar los datos consultados para fines comerciales, políticos o electorales.

El Reglamento de la Ley 29733 precisa que: “la solicitud del consentimiento deberá estar referida a un tratamiento o serie de tratamientos determinados, con expresa identiﬁcación de la finalidad o finalidades para lasque se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos,…”, incluyendo la transferencia nacional o internacional de los datos[4]

“El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización[5]”.

Todo desvío de la finalidad o “el uso los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación[6]”, u orden judicial o mandato legal expreso[7], es susceptible de multa, la misma que se determina: “en función a la Unidad Impositiva Tributaria vigente a la fecha en que se cometió la infracción y cuando no sea posible establecer tal fecha, la que estuviere vigente a la fecha en que la Dirección General de Protección de Datos Personales detectó la infracción”. Graduándose la sanción a imponerse, en función “al principio de razonabilidad de la potestad sancionadora reconocido en el numeral 3 del artículo 230 de la Ley Nº27444, Ley del Procedimiento Administrativo General, así como la condición de sancionado reincidente y la conducta procedimental del infractor”[8].

Incluyéndose la responsabilidad del tercero subcontratado, si éste:

“1. Destina o utiliza los datos personales con una finalidad distinta a la autorizada por el titular del banco de datos o responsable del tratamiento; o

2. Efectúe una transferencia, incumpliendo las instrucciones del titular del banco de datos personales, aún cuando sea para la conservación de dichos datos[9]”.

“Cuando el tratamiento sea efectuado por organismos sin fines de lucro y cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos[10]”

“El titular de datos personales tiene derecho a la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento, cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo establecido para su tratamiento[11]” El Reglamento prevé que la cancelación o supresión podrá referirse a todos los datos personales del titular o solo a alguna parte de ellos.[12].

Se garantiza la publicidad sobre la existencia, finalidad, identidad y el domicilio de su titular, y de ser el caso, su encargado en la: “creación, modificación o cancelación de bancos de datos personales de administración pública y de administración privada se sujetan a lo que establezca el reglamento, salvo la existencia de disposiciones especiales contenidas en otras leyes[13]”. Como igualmente el registro y la consulta del Registro Nacional de Protección de Datos Personales por cualquier persona acerca de “la existencia de bancos de datos personales, sus finalidades,…[14]”; como de otros actos y documentos inscribibles en el Registro, según sanciona el Reglamento, incluyendo la emisión de una Resolución de inscripción del banco de datos, consignándose en ella: la descripción de la finalidad y usos previstos.[15]

2. Principio de proporcionalidad

“Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para que los que estos hubieran sido recopilados”[16]. Por ejemplo, no es necesario registrar informaciones sobre el entorno familiar de una persona cuando, en consideración a las finalidades de un tratamiento y a la naturaleza de cada caso particular tratado, sólo son necesarios elementos relativos a su vida profesional.

El Reglamento no analiza el Principio de proporcionalidad, sino solo cuatro de los principios expuestos en la Ley:

Artículo 7.- Principio de consentimiento.

Artículo 8.- Principio de finalidad.

Artículo 9.- Principio de calidad.

Artículo 10.- Principio de seguridad.

3. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.

Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento[17].

Según el Reglamento, los datos contenidos en un banco de datos personales, deben ajustarse con precisión a la realidad, presumiéndose que los datos directamente facilitados por el titular de los mismos son exactos[18]. No obstante, el Reglamento no desarrolla los conceptos de datos actualizados, necesarios, pertinentes y adecuados, respecto de la finalidad para la cual fueron recopilados. Inclusive este último concepto se reitera en el Principio de calidad y el Principio de proporcionalidad.

Tampoco alude al tiempo necesario para cumplir con la finalidad del tratamiento según la ley. Sin embargo, resulta evidente que los tiempos de conservación de informaciones contenidas en un banco de datos, no pueden ser indefinidos. La duración de conservación deberá ser determinada en función de la finalidad de cada archivo. Los registros de video protección, por ejemplo, no deben ser conservados, en principio, más de un mes. Las informaciones relativas a clientes, a su vez, no debe conservarse más de un año después de establecerse una relación contractual, según la ley francesa. El incumplimiento de la duración de conservación puede ser penada con cinco años de prisión y 300 000 € de multa[19]

Sin embargo, esta obligación de fijar una duración limitada de conservación no priva a los responsables de los tratamientos de la posibilidad de archivar informaciones, particularmente, para fines probatorios. Cuando este archivo se elabore de forma electrónica, deberán respetarse las Recomendaciones de la Autoridad Nacional de Protección de Datos Personales sobre el archivo electrónico de datos personales en el sector privado.

4. Principios de seguridad y privacidad

Según la Ley 29733, el titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate[20].

El Reglamento 003-2013-JUS, menciona solo la adopción de: las medidas de seguridad que resulten necesarias a fin de evitar cualquier tratamiento contrario a la Ley o al presente reglamento, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

La Resolución Directoral N° 019-2013-JUS/DGPDP de la Autoridad Nacional de Datos Personales que aprueba la Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales es mas especifica. Ella tiene por Base Legal: la Constitución Política del Perú, la Ley N° 29733, el D.S. N° 003-2013-JUS que aprueba el Reglamento de la Ley N° 29733, el D.S. N° 011-2012-JUS que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, la Resolución Ministerial N° 246-2007-PCM que aprueba la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas para la gestión de la seguridad de la información, 2ª Edición”, y la Resolución Ministerial N° 129-2012-PCM que aprueba el uso obligatorio de la norma técnica peruana “NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de Seguridad Sistemas de Gestión de Seguridad de la Información en todas las entidades integrantes del Sistema Nacional de Informática”.

El alcance de la Directiva es aplicable a los bancos de datos personales de administración pública o privada de acuerdo a lo establecido en la Ley N° 29733 y su reglamento. Su objetivo es garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en banco de datos personales, mediante medidas de seguridad que protejan los bancos de datos personales, de conformidad con la Ley 29733 y su reglamento.

La responsabilidad de las medidas de seguridad recae en el titular de los datos personales, en el titular del banco de datos personales y en la Autoridad Nacional de Protección de Datos Personales.

Las medidas de seguridad establecen 1. Disposiciones Generales, agrupadas en cinco categorías en el tratamiento de los datos personales, que van del nivel básico, simple, intermedio, complejo hasta el crítico, identificados por un código de colores, justificándose éste por determinados criterios: volumen, número, tiempo, titularidad, consentimiento, multi-localización sensibilidad. Como también por las condiciones de seguridad, requisitos de seguridad e información complementaria.

Las 2. Disposiciones Especificas, contemplan medidas de seguridad organizativas, jurídicas (legales en la Ley) y técnicas, además del. 3. Procedimiento y 4. Disposiciones Complementarias. Seguidos de tres Anexos: A. Glosario, B. Orientación para Banco de Datos de tipo Básico y Simple y C. Orientación para Bancos de Datos de tipo Complejo y Critico. No existe Orientación específica para Bancos de Datos de tipo Intermedio.

Según estas orientaciones, la responsabilidad de las medidas de seguridad recae en el titular de los datos personales, en el titular del banco de datos personales y en la Autoridad Nacional de Protección de Datos Personales. Así, los datos contenidos, por ejemplo, en los expedientes de los abogados sólo pueden ser consultados por las personas autorizadas para acceder a ellos en razón de sus funciones. Los expedientes de los abogados no pueden ser comunicados sino a las personas autorizadas para su conocimiento en virtud de disposiciones legislativas específicas y bajo reserva del respeto del secreto profesional.

El abogado, como responsable de un tratamiento, es tributario de una obligación de seguridad. Por tanto, debe tomar todas las medidas necesarias para garantizar la confidencialidad e impedir toda divulgación de información. Es conveniente, por ejemplo, de velar a que cada persona autorizada a acceder a las informaciones disponga de una contraseña individual (compuesta al menos de 8 caracteres alfanuméricos y regularmente cambiado) y que los derechos de acceso hayan sido claramente definidos en función de necesidades reales.

5. Principio de respeto de los derechos de las personas

Esta marcado por el consentimiento o no de las personas para el tratamiento de sus datos personales[21], el mismo que debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que la Ley 29733 les confiere. Igual regla rige para su utilización por terceros[22]. Las limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser establecidas por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos[23].

Incluyendo medidas especiales a dictarse por Reglamento[24] para el tratamiento de datos personales de los niños y adolescentes[25]; pudiendo ser abiertos, incautados, interceptados o intervenidos las comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos cuando sean de carácter privado, por mandamiento motivado del juez, o con autorización de su titular, con las garantías prevista en la ley, guardándose secreto de asuntos ajenos al hecho que motiva su examen[26].

El tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que esta Ley les confiere. El artículo 13.5 de la Ley de Protección de Datos Personales[27] establece que las personas físicas concernidas por el tratamiento de datos personales, tienen derecho a ser previamente informadas de la identidad de su responsable (o de su representante), informado (de su finalidad, de su carácter obligatorio o facultativo de la colecta de datos, los destinatarios, las modalidades del ejercicio de los derechos de acceso[28] y de rectificación[29], y de ser el caso, la transferencia de datos fuera del ámbito nacional[30].

El consentimiento debe ser igualmente expreso, no tácito, e inequívoco. En el caso de datos personales sensibles, el consentimiento para su tratamiento, debe efectuarse por escrito, salvo cuando la ley lo autorice y atienda motivos importantes de interés público.[31]

El Reglamento adiciona: Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables[32]. Este artículo abre la posibilidad a la colecta, tratamiento y difusión de datos personales cuyo consentimiento ni orígenes pueden ser verificados, y al tráfico de estos. También dificulta las acciones de control de las Autoridades Nacionales de Protección de Datos Personales, si los proveedores de los mismos no domicilian en país o no se encuentran sujetos a jurisdicción nacional o supranacional en las cuales el Perú puede accionar.

Los abogados, cuando ellos actúan en calidad de responsable de tratamiento, son libres de determinar los medios a aplicar para asegurar la información de las personas.

Toda persona tiene derecho de oponerse[33], por motivos legítimos, a que los datos que les conciernen sean almacenados en un archivo informático, salvo si éste último presenta un carácter obligatorio. Igualmente, el titular de datos personales puede revocar su consentimiento en cualquier momento, observando al efecto los mismos requisitos que con ocasión de su otorgamiento[34]. El Reglamento incluye además el derecho al tratamiento objetivo[35], el derecho a la tutela, en caso de denegación del ejercicio de derechos, ante la ANPDP, en vía de reclamación, o el Poder Judicial, mediante acción de habeas data[36], y el derecho a la indemnización, en caso de ser afectado a consecuencia del incumplimiento de la presente ley[37].

Las limitaciones a los derecho de los titulares de los datos personales pueden ser denegados por los titulares o encargados de los datos personales: “por razones fundadas en la protección de derechos e intereses de terceros o cuando ello pueda obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, a las investigaciones penales sobre la comisión de faltas o delitos, al desarrollo de funciones de control de la salud y del medio ambiente, a la verificación de infracciones administrativas, o cuando así lo disponga la ley[38]”.

El tratamiento de de datos personales relativos a la comisión de infracciones penales o administrativas solo puede ser efectuado por las entidades públicas competentes, salvo convenio de encargo de gestión conforme a la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a ley[39].

Además, toda persona física que demuestre su identidad tiene derecho de preguntar al responsable de un tratamiento de datos personales para:

- saber si los datos que le conciernen, figuran o no;

- obtener la comunicación de datos que le conciernen bajo una forma comprensible, por un lado, y toda información disponible cuanto a sus orígenes, de otra parte;

- obtener informaciones sobre la finalidad del tratamiento, los datos colectados o recogidos y los destinatarios.

Sin embargo, el parágrafo 13.9 del Artículo 13. Alcances sobre el tratamiento de datos personales, deja abierta la posibilidad a la comercialización de datos personales, aun cuando éstas operaciones se encuentren sujetas a los principios previstos en la presente ley.

Segunda Parte, en junio:

B. Las cinco misiones de la ANPDP

[1] Según la Ley de Protección de Datos Personales peruana y su Reglamento, los archivos se asimilan a las bases de datos, ficheros y a todo otro conjunto organizado de datos.

[2] Ley 29733, Artículo 6, Principio de finalidad. El Reglamento de la Ley 29733, D.S. 003-2013-JUS, solo desarrolla en su artículo 8 Principio de finalidad, el concepto de finalidad determinada, pero no aquellos de finalidad legítima ni finalidad explicita.

[3] D.S. 003-2013-JUS, Artículo 8.- Principio de finalidad.

[4] D.S. 003-2013-JUS, Artículo 11.- Disposiciones generales sobre el consentimiento para el tratamiento de datos personales.

[5] Ley 29733, Artículo 6, Principio de finalidad

[6] Ley 29733, Artículo 28. Obligaciones

[7] D.S. 003-2013-JUS, Artículo 31.- Tratamiento de datos personales en el sector comunicaciones y telecomunicaciones.

[8] D.S. 003-2013-JUS, Artículos 124 Determinación de la sanción administrativa de multa y 125 Graduación del monto de la sanción administrativa de multa

[9] D.S. 003-2013-JUS, Artículo 38.- Responsabilidad del tercero subcontratado.

[10] Ley 29733, Artículo 14. Parágrafo 7, Limitaciones al consentimiento para el tratamiento de datos personales

[11] Ley 29733, Artículo 20. Derecho de actualización, inclusión, rectificación y supresión

[12] D.S. 003-2013-JUS, Artículo 67.- Supresión o cancelación

[13] Ley 29733, Artículo 29. Creación, modificación o cancelación de bancos de datos personales

[14] Ley 29733, Artículo 34. Parágrafo 5, Registro Nacional de Protección de Datos Personales

[15] D.S. 003-2013-JUS, Artículo 76. - Inscripción registral, 77.- Actos y documentos inscribibles en el Registro, y 83.- Resolución de Inscripción.

[16] Ley 29733, Artículo7, Principio de proporcionalidad

[17]Ley 29733, Artículo8, Principio de calidad

[18] D.S. 003-2013-JUS, Artículo 9, Principio de calidad.

[19] Article 226-20 Code Pénale

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

[20] Ley 29733, Artículo9, Principio de seguridad

[21] Ley 29733, Artículo8, Principio de consentimiento.

[22] Ley 29733, Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.1.

[23] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.2.

[24] D.S. 003-2013-JUS, Artículo 14 Limitaciones al consentimiento para el tratamiento de datos personales

[25] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.3.

[26] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.4.

[27] Ley 29733, Artículo 13. Alcances sobre el tratamiento de datos personales. 13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.

[28] D.S. 003-2013-JUS, Artículo 19. Derecho de acceso del titular de datos personales

[29] El D.S. 003-2013-JUS, Artículo 20, además del derecho de rectificación, incluye el derecho de actualización, inclusión, y supresión. Además prevé la figura del bloqueo.

[30] D.S. 003-2013-JUS, Artículo 15. Flujo transfronterizo de datos personales

[31] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.6.

[32] D.S. 003-2013-JUS, Artículo 18. Derecho de información del titular de datos personales Segundo Parágrafo.

[33] D.S. 003-2013-JUS, Artículo 22 Derecho de oposición.

[34] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.7.

[35] D.S. 003-2013-JUS, Artículo 23 Derecho al tratamiento objetivo

[36] D.S. 003-2013-JUS, Artículo 24 Derecho a la tutela

[37] D.S. 003-2013-JUS, Artículo 25 Derecho a ser indemnizado

[38] D.S. 003-2013-JUS, Artículo 27 Limitaciones

[39] Artículo 13. Alcances sobre el tratamiento de datos personales. Parágrafo 13.8.

lunes, 28 de abril de 2014

PROTECCION DE DATOS PERSONALES, DISPOSITIVO O SISTEMA REGISTRADOR DE EVENTOS Y SISTEMA DE CORREDORES COMPLEMENTARIOS (SCC) DEL SISTEMA INTEGRADO DE TRANSPORTE (SIT) PÚBLICO DE LIMA METROPOLITANA.

PROTECCION DE DATOS PERSONALES/DISPOSITIVO/ SISTEMA DE CORREDORES COMPLEMENTARIOS/ SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DE LIMA METROPOLITANA/ORDENANZA N°1769/MUNICIPALIDAD METROPOLITANA DE LIMA/ LEY N° 29733/.

1. ALCANCE CONCEPTUAL

Los datos personales constituyen toda información que identifica o hace identificable a una persona, como los pre nombres y apellidos, el Documento Nacional de Identidad, DNI, el Registro Único del Contribuyente, RUC, la dirección domiciliaria, la dirección de correo electrónico, la huella digital, el Acido Desoxirribo Nucléico, ADN, imagen, voz, etc.

La Ley 29733 y su Reglamento D.S. N° 003-2013-JUS, principalmente, regulan la protección de los datos personales. Esta normativa se aplica a los diferentes dispositivos capaces de acopiar, captar, transmitir, conservar, o almacenar datos personales identificando y ubicando a las personas físicas mediante diferentes dispositivos: Cámaras, Videocámaras, Sistema de Geoposicionamiento Global, (GPS), Teléfonos, Dispositivos de Identificación por Radiofrecuencias, RFID[1], Tacógrafos[2] y/o cualquier medio técnico análogo, ya sea con fines de vigilancia, video protección u otros.

Para que pueda utilizarse dispositivos de esta naturaleza no basta con que éstos reúnan los requisitos técnicos que le permiten funcionar, su uso debe ser legítimo. Esto ocurre cuando se tiene el consentimiento del titular de los datos personales, o en el caso de Sistema de Corredores Complementarios, (SCC), las Normas emitidas por la Autoridad, y fijada para el uso de los Concesionarios, mediante acuerdo propuesto por la Municipalidad Metropolitana de Lima.

En Sesión Ordinaria, el Concejo Metropolitano de Lima, de fecha 28 de enero de 2014 luego de analizar los Dictámenes Nos. 382-2013-MML-CMAEO, 128-2013-CMAL y 23-2013-MML-CMCDCyTU de las Comisiones Metropolitanas de de Asuntos Económicos Y Organización, de Asuntos Legales y de Comercialización, Defensa del Consumidor y Transporte Urbano, aprobó la Ordenanza que regula el SCC del Sistema Integrado de Transporte (SIT) Público de Lima Metropolitana; incorpora disposiciones a las Ordenanzas N°s 812-MML, 1595-MML, 1599-MML, 1613-MML, 1681- MML, 1682-MML, 1683-MML y 1684-MML; y modifica la Normativa del Servicio de Transporte Público de Lima Metropolitana.

Los artículos “2° Finalidad”[3] y “3° Ámbito”[4] de la Ordenanza pretenden consolidar las condiciones para la correcta implementación e integración del SIT; siendo aplicable a todos aquellos servicios de transporte público, regulado en el “Articulo 1 Objeto” de la Ordenanza, mencionados en el párrafo anterior.

Para el presente trabajo, solo se toma como referencia para la protección de datos personales, las infracciones CC39 y CC48 del Anexo A de la norma que regula el Sistema de Corredores Complementarios del SIT.

En su artículo 69°.- Clasificación de las infracciones, se establece que:

69.1 Las infracciones se clasifican en “Muy Graves”, “Graves” y “Leves”; y serán sancionadas con las multas y medidas preventivas detalladas en el Anexo 1:

a) Leves, penalidad entre 10% y 20% de la Unidad Impositiva Tributaria.

b) Graves, penalidad entre 20% y 1 Unidad Impositiva Tributaria.

c) Infracciones muy graves, penalidad entre 1 y 2 Unidades Impositivas Tributarias.

NORMA QUE REGULA EL SISTEMA DE CORREDORES COMPLEMENTARIOS DEL SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DE LIMA METROPOLITANA

ANEXO A

TABLA DE INFRACCIONES, SANCIONES Y MEDIDAS PREVENTIVAS

INFRACCIONES APLICABLES A LOS CONCESIONARIOS DEL SERVICIO DE TRANSPORTE

Código	Infracción	Calificación	Medidas Preventivas	Sanción	Reincidencia
CC39	No contar con el sistema de control y monitoreo inalámbrico permanente del vehículo en ruta o con un dispositivo o sistema registrador de eventos y ocurrencias, cuando este se encuentre prestando el servicio.		Grave	20% UIT	40% UIT
CC48	Prestar el servicio con vehículos que no cuenten o se les haya retirado o desactivado el limitador de velocidad o el dispositivo registrador, o cuando se detecte que estos han sido manipulados para alterarlos.		Grave	20% UIT	40% UIT

2. IMPLICANCIAS

2.1. Implicancias Técnicas

El uso de las Unidades Móviles en el Sistema de Corredores Complementarios, (SCC), se infiere aplicables tanto a las infracciones CC39 como al CC48, según al “Anexo A, Infracciones Aplicables a los Concesionarios del Servicio de Transporte” a través:

· de un “Sistema de control y monitoreo inalámbrico permanente del vehículo en ruta, o con un dispositivo o sistema registrador de eventos y ocurrencias, cuando éstas se encuentren prestando servicio”, y

· en los casos de “Prestación de servicios con vehículos que no cuenten o se les haya retirado o desactivado el limitador de velocidad o el dispositivo registrador, o cuando se detecte que estos han sido manipulados para alterarlos”.

Ambas infracciones resaltan aspectos técnicos que han sido regulados en el extranjero pero no necesariamente han sido tomados en cuenta en la Ordenanza N° 1769. Estos conciernen:

Los tipos de vehículos materia de la Concesión, fijados mediante las Ordenanzas aplicables al Sistema de Corredores Complementarios, SCC del SIT y que han sido aceptados por los Concesionarios, omiten la posibilidad de transito de otras unidades móviles - aceptadas en otros países - y las exigencias de las mismas referencias técnicas de vehículos y de sistema de control y monitoreo y los dispositivos o sistemas registradores de eventos y ocurrencias, a terceros, a saber:

o Vehículos pertenecientes a los Poderes e instituciones públicas, propios o alquilados, con o sin conductor pertenecientes a estos, para efectuar actividades en el marco de su misión de servicio público, por transporte terrestre de no competencia con los transportes privados;

o Vehículos cuyo peso máximo autorizado no supere 7,5 toneladas, incluyendo remolques o semi remolques, utilizados o alquilados sin chofer por empresas de agricultura, horticultura, silvicultura, crianza o pesca para el transporte de bienes en el marco de sus actividades profesionales especificas en un radio de 50 kilómetros;

o Vehículos utilizados en el transporte de animales vivos, a los mercados locales y viceversa, o de granjas a mataderos, en un radio de 50 kilómetros;

o Vehículos utilizados en la colecta y transporte de alimentos, en un radio de 150 kilómetros;

o Tractores agrícolas, o forestales para el transporte de bienes en el marco de sus actividades profesionales específicas en un radio de 100 kilómetros;

o Vehículos de 10 a 17 plazas destinados a exclusivamente al transporte de viajero sin fines comerciales, a excepción de transporte de menores;

o Vehículos especializados en el transporte de circo o fiestas de feria;

o Vehículos destinados a fines de enseñanza, biblioteca, médicos u otros;

o Vehículos especializados en el transporte de fondos;

o Vehículos de las Municipalidades de Lima, de la Región Lima

o …

Procedimientos de Normalización para el uso de Sistemas de control y monitoreo inalámbrico permanente del vehículo en ruta, o dispositivos o sistemas registradores de eventos y ocurrencias, aplicables a los concesionarios y a terceros.
Procedimientos de mantenimiento y renovación obligatorios del material de control y dispositivos, aplicables a los concesionarios y a terceros.
Estimación del tiempo de vigencia, migración de los Sistemas de control y monitoreo inalámbrico permanente del vehículo en ruta, o dispositivos o sistemas registradores de eventos y ocurrencias.
Definición de los documentos de control afectados a los choferes, y Guías de buen uso; renovación, reemplazo, costo, retiro de documentos de control. Procedimientos en caso de averías, disfuncionamiento, pérdida…
Obligatoriedad del uso o porte de los documentos de control durante el manejo por los choferes, equipos.
Obligaciones del Concesionario (Empresa y Conductor), según los dispositivos portados, aplicables igualmente a terceros.

2.2. Implicancias Jurídicas

Las implicancias jurídicas referidas a la Protección de Datos Personales en el Perú, han sido previstas en la Ley N° 29733, su Reglamento, el D.S. N° 003-2013-JUS, el Decreto Supremo N° 003-2013-JUS que aprueba la Directiva de Seguridad de los bancos de datos personales y sistemas aferentes.

Y, de manera general, en la Constitución Política del Perú, Arts. 2°, 200°; Decreto Supremo N° 011-2012-JUS que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos; la Resolución Ministerial N° 246-2007-PCM, aprueba la Norma Técnica Peruana, “NTP ISO/IEC 17799:2007 EDI, Técnicas de Seguridad, Código de Buenas Prácticas para gestión de seguridad de la información. 2da Edición.

Extensivamente son de aplicación otras normas del ordenamiento jurídico nacional. [5]

La principal implicancia es que la utilización de sistemas de trazabilidad mediante Cámaras, Videocámaras, Teléfonos, RFID, Tacógrafos, y otros dispositivos o sistemas registradores de eventos pueden dar lugar a la creación de bancos de datos.

Esta probabilidad fue establecida en la Directiva Europea N° 95/46/CE y en la transposición de ésta en la ley francesa de 1978 y leyes ampliatorias y modificatorias, de optar por el régimen de Declaración o de Autorización de Ficheros, si ellos permiten o no el registro-grabación y el almacenamiento de los identificantes – atributos personales – de las personas físicas - incluyendo voz e imágenes - y de las unidades móviles u objetos, en banco de datos en soportes digitales.

Si apelamos a los principios de Legalidad[6]; principio de Consentimiento[7], y las Limitaciones al Consentimiento[8] de la Ley N° 29733, puede establecerse la legitimidad de la aplicación de la normatividad nacional a los bancos de datos de los usuarios de la Concesión del uso de los SCC, por las obligaciones derivadas del Convenio. Particularmente: acopiar, captar, transmitir, conservar, o almacenar datos personales identificando o haciendo identificables y ubicando a las personas físicas como a las unidades móviles, mediante diferentes dispositivos: Cámaras, Videocámaras, Sistema de Geoposicionamiento Global, (GPS), Teléfonos, Dispositivos de Identificación por Radiofrecuencias, RFID, Tacógrafos, etc...

Adaptar los principios legislativos europeos, y la ley francesa en particular - de protección de datos personales - a la normativa nacional del Perú, supondría que en el caso de la Infracción a los Concesionarios del Servicio de Transporte, Código CC39, la “inexistencia de Sistemas de Control y Monitoreo Inalámbrico permanente del vehículo en ruta o con un dispositivo o sistema registrador de eventos y ocurrencias, cuando este se encuentre prestando el servicio”, que la Autoridad Nacional de Protección de Datos Personales opte normativamente, por la presentación de una simple Declaración o por una Solicitud de Autorización del obligado. La diferencia entre uno y otro régimen dependen de la sensibilidad del contenido de los Bancos de Datos, o de la especificidad del mismo.

Igualmente, en términos de la sanción. La infracción Código CC39 de la Ordenanza que comentamos, prevé ya la sanción como “Grave” y sujeto el infractor a Sanción de 20% UIT. Pero, a ésta podrá agregarse, la que se derive, en caso de falta de Declaración o aquella de Autorización – de aceptarse esta forma, por los Bancos de Datos Personales detentados.

Similar criterio podrá adoptarse en los casos de la infracción Código CC48, en los casos de prestación de servicio con vehículos que no cuenten o se les haya retirado o desactivado el limitador de velocidad o el dispositivo registrador, o cuando se detecte que estos han sido manipulados para alterarlos.

Una reciente jurisprudencia francesa sobre el licenciamiento de un asalariado que manipuló un tacógrafo, la Corte de Apelaciones dispuso la invalidez de esta decisión por no haberse declarado dicho dispositivo ante la Comisión de Informática y Libertades, (Autoridad Nacional de Protección de datos Personales). Sin embargo, la Corte de Casación, censuró la decisión de la Corte de Apelaciones. Ella decidió que cuando el empleador está obligado en virtud de un Reglamento de aplicación directa de la Comunidad (en este caso, el Reglamento CEE 3821/85), para asegurar la implementación y la utilización de un tacógrafo, una ausencia de declaración ante el CNIL del uso de este dispositivo no le priva de la oportunidad de prevalerse, en relación con el asalariado, de las informaciones proporcionadas por este equipo de monitoreo, del cual, el asalariado no podía ignorar su existencia[9].

En conclusión:

La Ordenanza debiera tener en cuenta las implicancias técnicas, y serles exigibles, las referencias de vehículos y de sistema de control y monitoreo, así como los dispositivos o sistemas registradores de eventos y ocurrencias.

De la misma manera, cuanto a las implicancias jurídicas: si los dispositivos o sistemas registradores de eventos son instrumentos de control instalados y utilizados en los vehículos, cuyo objetivo es permitir el monitoreo y control de la actividad de los conductores en los Sistemas de Corredores Complementarios (SCC) del Sistema Integrado de Transporte, (SIT), como tales, acopian y tratan automatizadamente datos personales y en consecuencia deben ser declarados a la Autoridad Nacional de Protección de Datos Personales, bajo el régimen de Declaración, o un Régimen de Autorización a implementarse.

[1] RFID (siglas de Radio Frequency IDentification, en español identificación por radiofrecuencia) es un sistema de almacenamiento y recuperación de datos remoto que usa dispositivos denominados etiquetas, tarjetas, o tags RFID. El propósito fundamental de la tecnología RFID es transmitir la identidad de un objeto (similar a un número de serie único) mediante ondas de radio. Las tecnologías RFID se agrupan dentro de las denominadas Auto ID (automatic identification, o identificación automática).

[2] El tacógrafo es un dispositivo electrónico capaz de registrar la velocidad, tiempo de manejo y de actividades (trabajo, interrupción, descanso, kilometraje efectuado,…) instalado en un vehículo de transporte terrestre. Existe dos tipos de tacógrafos, uno analógico y el otro numérico. El primero, es capaz de registrar datos de identidad del o de los conductores, actividades durante el manejo, referencias del vehículo, distancia recorrida, velocidad, intervenciones técnicas, anomalías de funcionamiento y averías. http://es.wikipedia.org/wiki/RFID

[3] Artículo 2°.- Finalidad La presente norma tiene como finalidad desarrollar normativamente el SCC como componente del SIT a cargo del Instituto Metropolitano Protransporte de Lima, en adelante “PROTRANSPORTE”.

[4] Artículo 3°.- Ámbito La presente norma es de aplicación a los usuarios, unidades de gestión y personas naturales o jurídicas que utilicen, operen o tengan vinculación directa con el SCC, de conformidad con lo dispuesto en la Ordenanza N° 1613 de fecha 26 de junio de 2012.

1° Constitución 1993

2° Derecho Procesal Constitucional

3° Código Civil

4° T.U.O. Código Procesal Civil

5° Código Penal

6° Código de Procedimientos Penales

7° Nuevo Código Procesal Penal

8° Código de Justicia Militar Policial

9° Código Penal Militar Policial

10° Código de los Niños y Adolescentes Ley Nº 27337

11° Texto Único Ordenado de la Ley de Telecomunicaciones

12° Texto Único Ordenado del Reglamento de la Ley de Telecomunicaciones

Resolución Ministerial Nº 111-2009-MTC/03.

14° Ley 28278 de Radio y Televisión

15° Códigos de Normas Éticas de Radio y Televisión

16° Ley N° 27444 Ley de Procedimiento Administrativo

17° Ley Orgánica del Consejo Nacional de la Magistratura, Ley N° 26397

18° Texto Único Ordenado del Reglamento del Congreso de la República

19° Ley Derecho de Rectificación Ley N° 26775 y su Modificatoria 268477

20° Decreto Ley N° 22244 Ley de Prensa (Derogado por la Ley N° 29477)

[6] Artículo 4. Principio de legalidad
El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

[7] Artículo 5. Principio de consentimiento
Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

[8] Artículo 14, Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)

5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

[9] http://rfsocial.grouperf.com/depeches/30624.html