LEY N° 30338: REGULACIÓN ESPUREA O INTERESADA? Primera Parte

 Por: Carlos FERREYROS SOTO

cferreyros@hotmail.com

La reciente Ley N° 30338, en adelante la ley, modifica diversas normas referidas al registro, actualización y certificación de la dirección domiciliaria y el cierre del padrón electoral, dándonos pie para expresar algunas ideas sobre los verdaderos propósitos y oportunidad de la norma. Esta, más que relacionarse con dirección electrónica o identidad digital vinculada al documento nacional de identidad electrónico, uno de cuyos componentes es el domicilio, revisa, reordena y amplía la legislación sobre el domicilio físico. En términos de oportunidad estamos lejos del tema faro referido por el Jefe del RENIEC sobre estas materias como de los alcances propuestos en el  Proyecto de Ley al Congreso de la República sobre Identidad Digital; contrariamente, estamos más cerca de la institución del domicilio aplicable a plazos políticos y de reforzamiento institucional de RENIEC.

Un enfoque general sobre la ley nos orienta así, menos sobre la aspiración de preparar o resolver el tránsito, adecuación de la variable dirección domiciliaria física a la digital, y relacionar ésta con el Documento Nacional de Identidad Electrónico, DNIe, sino resolver un tema coyuntural, de reforzamiento institucional de RENIEC, de registro, actualización, certificación de domicilio físico y padrón electoral.

Un segundo enfoque más específico nos permite abordar la ley, primero, desde el ángulo de la argumentación propuesta en el Ante Proyecto y su versión definitiva en la ley; segundo, desde las  consecuencias que plantea la ley N° 30338. Es desde esta doble perspectiva que se intentará analizar la ley. 

1.     Sobre la argumentación propuesta en el Ante Proyecto y en la Ley, se imponen algunas reflexiones, una primera vinculada a la argumentación en el Ante Proyecto, y una segunda, ratificada en la versión adoptada en la ley:

1.1.  Argumentación en el Ante Proyecto.

De los antecedentes del Ante Proyecto podemos rastrear el origen de la iniciativa, sus titulares, contenidos y plazos. El titular de la iniciativa fue el grupo parlamentario fujimorista, cuyo contenido original se expresó en el título: “Modificación del artículo 30°[1] de la Ley Orgánica del Registro Nacional de Identificación y Estado Civil, RENIEC, acerca del contenido del Documento Nacional de Identidad”. La iniciativa fue presentada por BARDALEZ COCHAGNE Aldo Maximiliano, KOBASHIGAWA KOBASHIGAWA Ramón, MEDINA ORTIZ Antonio, PARIONA GALINDO Federico, SARMIENTO BETANCOURT Freddy Fernando, SCHAEFER CUCULIZA Karla Melissa, VALQUI MATOS Néstor Antonio, el 17 de setiembre de 2012, tramitándose ante la Comisión de Constitución y Reglamento del Congreso, habiendo obtenido Dictamen favorable dos años y dos meses después, el 28 de noviembre de 2014 y aprobada la ley el 28 de agosto de 2015, nueve meses adicionales, es decir, casi tres años desde el plazo de presentación de la iniciativa parlamentaria hasta la aprobación de la ley.

En términos de titulares de la iniciativa, desconocemos si la misma fue discutida, coordinada con el RENIEC, antes del Dictamen o durante el proceso de debate para su aprobación, lo que sí resulta evidente es que todos los aspectos del objeto de la iniciativa variaron o fueron sustituidos (Artículo 32°- del RENIEC), ampliándose y apreciándose otros aspectos del artículo 37°, incluyéndose temas conexos de dirección domiciliaria, actualización, certificación y cierre del padrón electoral.

Originalmente, la iniciativa parlamentaria de modificación del artículo 32° de la ley 26497, se circunscribía, primero, a la inclusión del inciso m)[2]; segundo, a la incorporación del artículo 32°-A., sobre la acentuación grafica de los nombres y apellidos y un tercero, relacionado con la rectificación de errores en el DNI y su afectación al pago dependiendo del sujeto causante de estos. Estos dos últimos no fueron tomados en cuenta en la ley N° 30338° promulgada.

Adicionalmente, dos aspectos descuidados en la argumentación y discusión del Ante Proyecto por los congresistas fueron:

a) los efectos por el transcurso del tiempo transcurrido: si es que pudiera seguir siendo válida y pertinente la argumentación original - tres años entre su presentación y promulgación - y sobre el cambio en la propuesta del contenido del DNI: reemplazar la fijación de la variable grupo sanguíneo por dirección domiciliaria en el DNI, aun cuando éstas no poseen similar equivalencia cuanto a identificación, ni menos si RENIEC había presentado ya, vía el Ejecutivo al Congreso, un  proyecto de Ley sobre Identidad Digital y Expediente Electrónico, comportando algunos aspectos biométricos de identidad - que el grupo sanguíneo posee, o

b) los efectos sobre las personas que plantea la inclusión del domicilio físico en el DNI en términos de garantía de identidad, protección, seguridad…

1.2. Versión definitiva en la ley y otras fuentes

a.       Versión definitiva de la ley.

Los debates sostenidos en el Congreso tanto en la Comisión de Constitución y Reglamento del Congreso como en el Pleno generaron  modificaciones y ampliaciones que han superado el alcance original del Ante Proyecto. En términos de modificaciones no fueron incluidos dos artículos originales a los cuales nos refiriéramos en los párrafos anteriores -  acentuación gráfica de los nombres y apellidos y la rectificación de errores en el DNI  - pero sí se ampliaron otros: respecto de certificación domiciliaria y cierre del padrón electoral.

Sobre estas ampliaciones, se desconoce si RENIEC participó en la elaboración, consulta de la norma, o si su participación se circunscribió solo a los aspectos del domicilio físico y no a la dirección  electrónica o domicilio digital.

Cualquiera que haya sido el rol de RENIEC en la ley que comentamos, un año antes, el 20 de julio de 2011, el Presidente Alan García Pérez presentaba ya al Presidente del Congreso de la República Cesar Zuamaeta Flores, una iniciativa legislativa impulsada por el Poder Ejecutivo denominada “Identidad Digital y Expediente Electrónico”, probablemente elaborada por RENIEC, la misma que enviada para Dictamen de la Mesa de Partes del Congreso a las Comisiones de Descentralización, Regionalización,  Gobiernos Locales y Modernización del Estado, y a la Comisión de Justicia y Derechos Humanos, en la cual se abordaba el tema de identidad digital, una de cuyos elementos involucraría el domicilio digital:

El artículo 7° de ese Proyecto de ley, preveía:

Tratándose de personas naturales nacionales, el Registro Nacional de Identidad Y Estado Civil (RENIEC) atribuirá la identidad digital nacional a través del Certificado Digital Nacional de Identidad, que se encuentra incorporado en su Documento Nacional de Identidad Electrónico, (DNIe)

b.      Otras fuentes

b.1. Reglamento de la Ley de Firmas y Certificados Digitales

El artículo N° 45 de esta fuente más antigua, el Decreto Supremo Nº 052-2008-PCM, definía ya en 2008 el Documento Nacional de Identidad electrónico (DNIe):

Es un Documento Nacional de Identidad, emitido por el Registro Nacional de Identificación y Estado Civil - RENIEC, que acredita presencial y electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificación públicas o privadas, el que se incorpora en el Documento Nacional de Identidad electrónico (DNIe) cuenta con la facultad adicional de poder ser utilizado para el ejercicio del voto electrónico primordialmente no presencial en los procesos electorales.

Incluyendo algunos comentarios sobre el voto electrónico:

El voto electrónico presencial o no presencial se dará en la medida que la Oficina Nacional de Procesos Electorales - ONPE reglamente e implante dichas alternativas de conformidad con lo dispuesto por la Ley que establece normas que regirán para las Elecciones Generales del año 2006 - Ley Nº 28581.

El mismo Decreto Supremo definía el Domicilio Electrónico en la Cuarta Disposición Complementaria Final, Glosario de Términos, como aquel que:

Está conformado por la dirección electrónica que constituye la residencia habitual de una persona dentro de un Sistema de Intermediación Digital, para la tramitación confiable y segura de las notificaciones, acuses de recibo y demás documentos requeridos en sus procedimientos. En el caso de una persona jurídica el domicilio electrónico se asocia a sus integrantes. Para estos efectos, se empleará el domicilio electrónico como equivalente funcional del domicilio habitual de las personas naturales o jurídicas. En este domicilio se almacenarán los documentos y expedientes electrónicos correspondientes a los procedimientos y trámites realizados en el respectivo Sistema de Intermediación Digital. El acceso a este domicilio se realiza empleando un certificado digital de autenticación.

Al margen de la discutible y aproximativa definición de dirección electrónica como residencia habitual  de una persona dentro de un Sistema de Intermediación Digital, resulta inverosímil que los artículos del Reglamento de Firmas y Certificados Digitales de 2008 y los del Ante Proyecto de 2011 acerca de los alcances del DNIe y definición del domicilio electrónico, hayan sido explicitados y estables antes que la revisión del domicilio físico  atribuible al DNI físico, en la ley que comentamos sobre RENIEC.

Menos evidente resulta aún que los congresistas se hayan prestado a debatir la norma que comentamos sin que esta sea clara, oportuna o pertinente, ni sin que responda a una visión global, de Plan, Estrategia, Políticas Publicas, atribuyéndose un rol subsidiario de rectificar omisiones o adaptación a solo un aspecto del contexto del domicilio: el físico.

Solo así podría justificarse que la ley n° 30338 incluya entre los Incisos vinculados al artículo 37, algunos temas relativos al domicilio físico, los mismos que ciertamente amenazan o vulneran derechos relativos a la privacidad, honor e imagen de las personas, como así ha sido previsto en los incisos:

·         37.3 La falta de actualización de datos, como los cambios de la dirección domiciliaria habitual no genera la invalidez del documento, sino el pago de una multa equivalente al 0.3 de la UIT (Aproximádamente 115.50)

Sobre este inciso pueden esbozarse varias hipótesis acerca de las obligaciones de la administración pública y los derechos de los ciudadanos, contribuyentes, trabajadores… Entre la responsabilidad de la administración pública de conocer el paradero de sus nacionales, incluyendo la verificación de declaraciones domiciliarias, y los derechos de las personas físicas de actualizar o no sus datos personales. Entre la validez relativa del documento de identidad desactualizado y el pago de una multa no significativa que puede resultar perjudicial para la administración electoral, fiscal, administrativa o para los intereses de terceros; finalmente, entre la falsa seguridad que representa la actualización de un dato domiciliario físico y el ánimo que puede guiar una persona a la comisión u omisión de ilícitos. Además, la dirección electrónica o el domicilio digital no son suficientemente garantes de acción, al no responder, frecuentemente a criterios de nacionalidad ni jurisdicción para la atribución de competencia.

·         37.4 El Registro Nacional de Identificación y Estado Civil (RENIEC), de manera permanente, realiza acciones de verificación de la dirección domiciliaria declarada, con cargo a su presupuesto y sin demandar recursos adicionales al tesoro público.

Para estos efectos, el RENIEC podrá solicitar a las instituciones públicas los informes y registros que correspondan, en coordinación con la Superintendencia Nacional de Administración Tributaria (SUNAT) y otras entidades con información vinculada al domicilio, a efectos de verificar la autenticidad de los datos consignados.

Además, el RENIEC prioriza las verificaciones domiciliarias cuando existan concentraciones excepcionales de habitantes en un mismo domicilio o se detecte una variación porcentual superior al promedio habitual en la circunscripción correspondiente.

El RENIEC administra la plataforma de interoperabilidad electrónica en materia domiciliaria con la finalidad de articular esta información georreferenciada con las entidades del Sistema Electoral y demás entidades que así lo requieran. Para tal efecto, la Oficina Nacional de  Gobierno Electrónico e Informática (ONGEI), en coordinación con las entidades del Sistema Electoral dictan las disposiciones necesarias.

La verificación de la declaración domiciliaria es una facultad atribuida por ley a RENIEC, y por extensión, a otras instituciones públicas en el marco de sus finalidades u objetos: domicilio administrativo, fiscal, electoral. Esta facultad que la ley autoriza puede devenir, doctrinalmente, una amenaza o vulneración si alguna institución pública - y extensivamente privadas - solicite y/u obtenga informes y registros sobre datos personales, incluyendo domicilios de  ciudadanos, contribuyentes, electores, en coordinación con otras instituciones públicas o no, a efectos de verificar la autenticidad de los datos declarados pues estas operaciones  pudieran ser consideradas como una forma de tratamiento de datos: interconexión, si corresponden a informes y registros sobre datos personales de instituciones que tienen finalidades públicas diferentes, realizadas de manera automatizada,  incumpliendo con ello algunos  de los principios básicos que rigen los derechos sobre protección de datos personales: finalidad, proporcionalidad[3].

Sobre ello, se pronuncia la:             

                        

o   Ley 29733

Artículo 6. Principio de finalidad

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

La finalidad es entonces determinada, explícita y lícita. Cada institución pública - incluyendo las instituciones privadas - tiene una actividad fijada o determinada por su objeto social público. Por no citar sino la ley de SUNAT, los intereses y domicilio fiscal relacionados con la Administración Tributaria difieren de las finalidades de otras instituciones de la administración pública,  electoral, regional, municipal, u otra.  Además, toda finalidad explicita, debe ser evidente, declarada en sus propósitos,  y licita, arreglada conforme a su ley de creación.

Y también,

o   El Reglamento de la Ley D.S. 003-2013-JUS, abunda cuanto al principio de finalidad:

Artículo 8.- Principio de finalidad.

En atención al principio de finalidad se considera que una finalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de los datos personales. Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad además de ser legítima, es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales. Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional. 

El concepto de finalidad determinada en el Reglamento se asocia a expresión clara, sin lugar a confusión y cuando de manera objetiva se especifica el objeto del tratamiento.  Precisa además, que cuando los profesionales realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.  Esta digresión debiera ser igualmente aplicable a las personas jurídicas públicas, incluyendo personas naturales o jurídicas privadas.

·         Finalmente, en el inciso:

37.5 La información sobre las observaciones del dato del domicilio que resulten de las acciones de verificación domiciliaria, es registrada en el Registro Único de Identificación de Personas Naturales (RUIPN) y es incluida en las consultas en línea que suministre el RENIEC.

RENIEC se plantea acertadamente la tutela de la identidad de las personas  naturales mediante acciones de verificación domiciliaria incluyéndolas en el Registro Único de Identificación de Personas Naturales, RUIPN (comprendiendo sus actualizaciones). Sin embargo, la difusión generalizada de estos datos e informaciones  es cuestionable, ellas deberían ser objeto de resúmenes, síntesis, o segmentaciones en función del tipo de público y de los intereses perseguidos, guardándose reserva sobre aquellos aspectos o ámbitos no pertinentes. La realidad peruana es otra: bajo las amenazas de inseguridad jurídica (dificultades sobre la identidad de titulares de derechos y obligaciones, o sobre el registro de sus bienes o posesiones) RENIEC y otras entidades públicas contribuyen a ofrecer garantía jurídica ofreciendo información autenticada pero de riesgo sobre los derechos atribuibles a las personas: privacidad, honor o imagen. Las consultas en línea previstas en el inciso que comentamos son un ejemplo de esa deriva que no resuelve el problema de inseguridad jurídica y más bien pone en riesgo los derechos relativos a la personalidad. En consecuencia, no podrían ser materia de contrato con terceros, cesión, apropiación o libre disposición datos e informaciones personales, salvo excepciones establecidos ya por la doctrina y legislación comparada, referidos a la defensa, seguridad interna y protección de los intereses vitales de la nación.

Ello apela a una esencial reflexión adicional: cuál es, y debiera ser  a futuro, la relación organizativa o funcional de los Organismos que forman el Sistema Electoral: RENIEC, Jurado Nacional de Elecciones, JNE,  Oficina Nacional de Procesos Electorales, ONPE  sobre las justas electorales. En lo inmediato, las próximas de 2016, la base de datos de electores elaborada sobre la base de datos de RENIEC continuará  siendo segmentada y se determinara un nuevo Padrón electoral? Se trata solo de una decisión administrativa, coyuntural o redefine nuevos escenarios políticos?

Parte de la solución estriba en los plazos de definición de roles, de autonomía, de adecuación. A término, deberá definirse su integración, o el rol  y aportes de cada componente del sistema electoral, desde una perspectiva diferente: de respeto a los derechos de la personalidad que hemos evocado, de gestión de variables necesarias a la elección, de  generación y actualización de base de datos relacionados con la finalidad de cada organismo o de un organismo integrado Ad Hoc, respetando los derechos de la personalidad ni se instalen mecanismos de mutualización o interconexión de datos y ficheros como practica de facilidad, ahorro, perfilamiento o inteligencia.

Finalmente, la ley N° 30338 adiciona dos otros artículos concernientes a la función notarial y certificación domiciliaria, complementarios a lo ya expresado:

o   Función notarial.

Modificase el inciso 5 del artículo 17 de la Ley 29824, Ley de Justicia de Paz, en los siguientes términos:

Artículo 17.- Función notarial

En los centros poblados donde no exista notario, el juez de paz está facultado para ejercer las siguientes funciones notariales:

5. Otorgamiento de constancias, referidas al presente, de posesión, domiciliarias, de supervivencia, de convivencia y otros que la población requiera y que el juez de paz pueda verificar personalmente. En el caso de las constancias domiciliarias, debe llevar el registro respectivo en el que conste la dirección domiciliaria habitual del titular e informar periódicamente al Registro Nacional de Identificación y Estado Civil (RENIEC).

Los artículos mencionados han concedido facultades a los jueces de paz donde no exista notario para otorgar constancia, entre ellas, la domiciliaria. En esos casos, debe llevar el registro respectivo en el que conste la dirección domiciliaria habitual del titular e informar periódicamente al Registro Nacional de Identificación y Estado Civil (RENIEC). Este inciso amplia el horizonte de relaciones funcionales de RENIEC en el aspecto administrativo con los Jueces de Paz, replanteando el rol de esos magistrados organizativamente dependientes del Poder Judicial, y del Ministerio de Justicia, en lo relativo a los Notarios, implícitamente, en lo relativo al Registro Público de Personas Naturales dependiente de la Superintendencia Nacional de Registros Públicos, SUNARP y el RUIPN de RENIEC: todo ello redefine el rol de unas y otras instituciones: excluyentes, complementarios? Y cuál es la seguridad ofrecida por los jueces de paz? Y cuál de los registros es el referente?

o   Certificación domiciliaria

Artículo 4. Modificación del artículo 1 de la Ley 28882, Ley de Simplificación de la Certificación Domiciliaria

Modificase el artículo 1 de la Ley 28882, Ley de Simplificación de la Certificación Domiciliaria, en los siguientes términos:

Artículo 1.- Certificado domiciliario simplificado

El certificado domiciliario simplificado, además de lo establecido en el artículo 41.1.3 de la Ley 27444, Ley del Procedimiento Administrativo General, es el documento que contiene la declaración jurada simple y escrita del interesado, en la que consta la dirección de su domicilio actual, la misma que será comunicada al Registro  Nacional de Identificación y Estado Civil por la entidad requirente. El funcionario público que no cumple con la obligación de recibir la declaración jurada incurre en infracción administrativa.

En caso de que se compruebe la falsedad de la declaración jurada el infractor será pasible de las sanciones contempladas en el artículo 427 del Código Penal, sin perjuicio de las sanciones administrativas correspondientes.

Cuanto a la certificación domiciliaria, la ley N° 30338 modifica el artículo 1 de la ley N° 28882 sobre el Certificado domiciliario simplificado, indicando que éste - además de lo establecido en el artículo 41.1.3.[4] -  contiene la declaración jurada simple y escrita del interesado, en la que consta la dirección de su domicilio actual, la misma que será comunicada al Registro  Nacional de Identificación y Estado Civil por la entidad requirente (Ante quien se solicita). Sancionándose el incumplimiento administrativo del funcionario infractor, o la falsedad de la declaración del  interesado, pasible de sanciones penales y administrativas. Esta decisión refuerza parte de lo expresado en los párrafos precedentes sobre la Función notarial. Además de proponer sanciones drásticas vinculadas a delito y no a faltas, sin perjuicio de sanciones administrativas, configurándose una doble pena.

Finalmente, el artículo 5° de la ley, modifica el artículo 201° de la Ley 26859, Ley Orgánica de Elecciones, indicando que el Padrón Electoral actualizado por el Registro Nacional de Identificación y Estado Civil que se utilizará en el proceso electoral convocado, será remitido al Jurado Nacional de Elecciones con noventa (90) días de anticipación a la fecha de las elecciones.

Artículo 5. Modificación del artículo 201 de la Ley 26859, Ley Orgánica de Elecciones.

Modifícase el artículo 201 de la Ley 26859, Ley Orgánica de Elecciones, en los siguientes términos:

Artículo 201. El Padrón Electoral actualizado por el Registro Nacional de Identificación y Estado Civil, que se utilizará en el proceso electoral convocado, será remitido al Jurado Nacional de Elecciones con noventa (90) días de anticipación a la fecha de las elecciones. El Jurado Nacional de Elecciones aprueba su uso dentro de los diez (10) días siguientes; de no hacerlo, al vencerse este plazo, el Padrón Electoral queda automática y definitivamente aprobado.

Para efectos del proceso de elecciones regionales y municipales, el Padrón Electoral se cierra en la fecha de la convocatoria a elecciones.

Las notables diferencias entre la argumentación propuesta en el Ante Proyecto y en la versión adoptada en la ley, sugiere algunas consecuencias previsibles

Ver: Segunda Parte Fin Octubre 2015

---

[1] En la Ficha de Seguimiento, "Proyecto de Ley 01505/2012-CR, rubrica “Titulo”  publicada en la página web del Congreso sobre el Ante Proyecto – vista el 12 de octubre de 2015) se hacer referencia la artículo 30° y no al 32°.

[2] Literalmente el inciso m) del Ante Proyecto se refería a la inclusión del grupo sanguíneo en el DNI de la persona a solicitud y costo del interesado.

El Documento Nacional de Identidad (DNI) debe contener, como mínimo, la fotografía del titular de frente y con la cabeza descubierta, la impresión de la huella dactilar del índice de la mano derecha del titular o de la mano izquierda a falta de este, además de los siguientes datos:

Inciso m) ”La dirección domiciliaria que corresponde a la residencia habitual del titular”

[3] En este artículo solo nos referiremos al principio de finalidad. Para mayor detalle el artículo: “Interoperabilidad, Interconexión y Tratamiento de Datos Personales”, Primera y Segunda Parte en: http://derecho-ntic.blogspot.pe/2015/08/interoperabilidad-interconexion-y.html

[4] Ley N° 17444, Articulo 41.1. Para el cumplimiento de los requisitos correspondientes a los procedimientos administrativos, las entidades están obligadas a recibir los siguientes documentos e informaciones en vez de la documentación oficial, a la cual reemplazan con el mismo mérito probatorio:

(…)

41.1.3 Las expresiones escritas del administrado contenidas en declaraciones con carácter jurado mediante las cuales afirman su situación o estado favorable en relación con los requisitos que solicita la entidad, en reemplazo de certificaciones oficiales sobre las condiciones especiales del propio administrado, tales como antecedentes policiales, certificados de buena conducta, de domicilio, de supervivencia, de orfandad, de viudez, de pérdida de documentos, entre otros.

INTEROPERABILIDAD, INTERCONEXION Y TRATAMIENTO DE DATOS PERSONALES. Segunda parte.

Carlos A. FERREYROS SOTO

Doctor en Derecho

Desde mayo 2015 se han ido publicando algunos artículos en la prensa peruana relacionados con los temas de inseguridad, la protección de los datos personales y la dación de facultades extraordinarias solicitadas por el Ejecutivo al Congreso. Estos temas no son coyunturales, al menos los dos primeros no lo son, sin embargo, es probable se instalen perdurablemente en el debate nacional, cualquiera que sea los tiempos políticos, la opción gubernativa o los niveles de riesgo. Desde la perspectiva informática, jurídica, estos temas se encuentran vinculados a dos conceptos: interoperabilidad e interconexión de ficheros de datos personales.

Dijimos antes que la Interoperabilidad puede ser definida como[1]:

Capacidad de los sistemas de información y de los procedimientos, para compartir datos y posibilitar el intercambio de información y conocimiento.

La capacidad de dos o más sistemas para intercambiar y utilizar la información

La Interconexión se define como una de las formas de conexión o tratamiento de datos. Ella alude a la conexión física, lógica y funcional de las bases de datos utilizadas por los mismos o diferentes operadores, de manera tal que los usuarios de estas bases de datos puedan comunicarse entre sí. El concepto de base de datos puede entenderse como sinónimo de fichero o archivo, definido como «conjunto estructurado de datos personales, accesibles, de acuerdo con criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica» (artículo 2.c Directiva 95/46/CE). El Convenio Europeo de 1981 también utiliza el concepto de fichero.

Abordaremos en esta segunda parte, primero, las referencias a la cuestión, luego las definiciones e interpretaciones sobre GPS y Datos Personales, después, la Geolocalización y la Interconexión de Ficheros, para finalmente responder a la cuestión de si el Decreto Legislativo 1182, amenaza o viola la privacidad o intimidad de las personas? O instrumenta la interconexión de ficheros?

1.     Referencias a la cuestión:

He aquí algunos ejemplos en la prensa escrita correspondientes a algunos meses de 2015. En mayo, Ruth BALLESTEROS, socia de METIS GAIA-CAVALA, publicó en el cotidiano GESTION, “Ley de Protección de Datos Personales: ¡Evitemos sanciones!” derivadas de la suspensión de las sanciones previstas por la Ley de 29733; en junio, una entrevista del semanario digital AMERICA SISTEMAS a Erick IRIARTE, tomaba sus dichos sobre la misma ley, precisando que esta “constituye una oportunidad de trabajo para muchas áreas”; en junio, igualmente en GESTION, el ex Ministro de Trabajo Jaime ZAVALA, advirtió sobre el uso de Sistema de Posicionamiento Global, GPS, para la fiscalización de los trabajadores por las  empresas mediante un celular asignado.

El 01 de julio se promulga la Ley 30336 Ley que delega en el Poder Ejecutivo la facultad de legislar en materia de seguridad ciudadana, fortalecer la lucha contra la delincuencia y el crimen organizado; el 27 de julio se publicó en el Diario oficial El Peruano, el Decreto Legislativo 1182, que regula el uso de los datos derivados de las telecomunicaciones para la identificación, localización y geolocalización de equipos de comunicación, en la lucha contra la delincuencia y el crimen organizado; el 30 de julio, nuevamente en GESTION el Ministro José Luis PÉREZ, planteó la posibilidad  de conectar la red de monitoreo del Serenazgo con la Policía en 43 Distritos de Lima; el mismo 30 de julio, en el diario La República, la periodista María Isabel ÁLVAREZ, publicaba una nota sobre: “Cinco claves para entender la Ley de localización”; el 31 de julio, el diario GESTION, la periodista Karin ABARCA, intitula una crónica: APRA apoya ley para rastrear móviles y fujimorismo duda”. El mismo 31 de julio, el Diario Oficial El Peruano, en una nota sin firma, se alega que los: “Titulares del Interior y de Justicia, desestiman que se utilice la Ley sobre geolocalización para interceptación telefónica u otros fines”. El mismo 31 de julio, la periodista Doris AGUIRRE de La República, intitula una crónica “General PNP: Ley no autoriza interceptar llamadas telefónicas”; el Diario Oficial El Peruano, el 4 de agosto publica una nota en la cual el Ministro de Justicia Gustavo ADRIANZEN confirma que: “En 45 días estarán listos los protocolos para geo ubicación” (sic); finalmente, el 07 de agosto, “El Comercio, confronta las opiniones de Dino CARO CORIA, “Sin orden judicial?, y de José Álvaro QUIROGA, “Antedelincuentes”, sobre si “¿La ley de geolocalización es legitima?.

Más profusamente se han publicado en la prensa digital, sendos artículos y ensayos sobre seguridad, protección de datos personales y facultades legislativas, y desde diversos ángulos y matices[2]. El tema es crucial pues apunta fundamentalmente a uno de los derechos más importantes del hombre: los derechos relacionados a la persona humana; pero a su vez a uno de los pilares de la nueva economía numérica: los datos personales, uno de los bienes más preciados de la sociedad de la información y del conocimiento. Resolver este tema significaría para los poderes del Estado señalar una línea clara y consensual.

No se teme la controversia sino las soluciones subjetivas, orientadas, irracionales, pues ellas ya se presentaron y han sido resueltas propiamente en otras latitudes, se teme a la incertidumbre, a un cierto espíritu nacional oscurantista, antropocentrista y arrogante, plagado de “psico sociales” y “gurús”, de resolver a contra corriente, a destiempo, en función de intereses subalternos, o de formas de adaptación legislativas desviantes. Sobre algunas de estas formas nos hemos pronunciado ya en este mismo Blog: en la Ley 29733, sobre su marcada orientación mercantilista y control administrativo; en la Ley 27489, sobre las Centrales de Riesgo, y su posible relación de fuente de acopio de datos personales por empresas bancarias y financieras de un mismo grupo empresarial; y recientemente sobre las normas relativas a las Notificaciones Electrónicas, fiscales y judiciales (TUO del Código Tributario y sobre la ley 30229), que amenazarían los principios sobre los cuales se sustentan las notificaciones por cédulas, en su versión física,.

2.     Definiciones e Interpretaciones de un Sistema  de Posicionamiento Global, GPS y Datos Personales

Dos Directivas de la Unión Europea se encuentran complementariamente imbricadas en las definiciones e interpretaciones de un Sistema de Posicionamiento Global, GPS y los Datos Personales: la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, mientras la primera regula la protección de los datos personales en soportes físicos y automatizados, la segunda, lo hace en las comunicaciones electrónicas[3]. Por razones metodológicas las analizamos separadamente.

2.1.         GPS

Un Sistema  de Posicionamiento Global, GPS o Global Positioning System, es un sistema que permite determinar en todo el mundo la posición de una persona u objetos (naves, vehículos…). El GPS funciona mediante una red de satélites en órbita sobre la tierra, con trayectorias sincronizadas afín de cubrir toda la superficie del  planeta y en tres planos distintos los que permiten ubicar cualquier dispositivo GPS con increíble precisión en tan sólo instantes.

Evidentemente, existen diferencias semánticas cuanto a los términos de posición y localización.  La posición es la forma en que está colocada una persona, un objeto. La  localización es el lugar geográfico donde se encuentra esa persona u objeto. Ubicación proviene etimológicamente del adverbio ubi, que puede traducirse como “donde”.

a)    UNION EUROPEA

El marco jurídico de los datos de localización han sido precisados y definidos en el Art. 2 Definiciones, inciso c) de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

"Datos de localización", ha sido definido como: “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público".

Y sobre todo en el artículo 9: Datos de localización distintos de los datos de tráfico

1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.

2. Cuando se haya obtenido el consentimiento de un usuario o abonado para el tratamiento de datos de localización distintos de los datos de tráfico, el usuario o abonado deberá seguir contando con la posibilidad, por un procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de tales datos para cada conexión a la red o para cada transmisión de una comunicación.

3. Sólo podrán encargarse del tratamiento de datos de localización distintos de los datos de tráfico de conformidad con los apartados 1 y 2 personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público o del tercero que preste el servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario a efectos de la prestación del servicio con valor añadido. (El subrayado es nuestro)

Los servicios de geolocalización se basan en:

- el sistema GPS[4] ;

- la telefonía móvil de tipo GSM[5].

Determinar entonces la posición de una persona, vehículo u objeto (telefonía móvil, y otros objetos misceláneos[6]) requiere el uso de cualquiera  de estos sistemas de geolocalización[7].

La Directiva 2002/58/CE fue modificada por la Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 en lo relativo a la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones.

En los considerandos se hace mención a que:

(3) Los artículos 5, 6 y 9 de la Directiva 2002/58/CE definen las normas aplicables al tratamiento, por los proveedores de red y de servicios, de los datos de tráfico y de localización generados por el uso de servicios de comunicaciones electrónicas. Estos datos deben borrarse o hacerse anónimos cuando ya no se necesiten para la transmisión, salvo los datos necesarios para la facturación o los pagos por interconexión. Previo consentimiento, determinados datos pueden también tratarse con fines comerciales y la prestación de servicios de valor añadido.

 (6) Las diferencias legales y técnicas entre disposiciones nacionales (de los Estados miembros) sobre conservación de datos con fines de prevención, investigación, detección y enjuiciamiento de delitos crean obstáculos en el mercado interior de las comunicaciones electrónicas; los prestadores de servicios deben cumplir requisitos diferentes en cuanto a los tipos de datos de tráfico y de localización que deben conservarse, así como en cuanto a las condiciones y los períodos de conservación.

(9) De conformidad con el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), toda persona tiene derecho al respeto de su vida privada y de su correspondencia. No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho salvo cuando esa injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria, entre otras cosas, para la seguridad nacional o la seguridad pública, la prevención de des- órdenes o delitos, o la protección de los derechos y las libertades de terceros.

(13) La presente Directiva sólo se refiere a los datos generados o tratados como consecuencia de una comunicación o de un servicio de comunicación y no a los datos que constituyen el contenido de la información comunicada. Los datos deben conservarse de tal manera que se evite que se conserven más de una vez. Los datos generados o tratados, cuando se presten servicios de comunicaciones electrónicas, se refieren a los datos accesibles. En particular, en lo referente a la conservación de datos relativos a los correos electrónicos y la telefonía por Internet, la obligación de conservar datos sólo puede aplicarse con respecto a los datos de los servicios propios de los proveedores o de los proveedores de redes.

(17) Es esencial que los Estados miembros adopten medidas legislativas para asegurar que los datos conservados de conformidad con la presente Directiva solamente se faciliten a las autoridades nacionales competentes de conformidad con la legislación nacional, respetando plenamente los derechos fundamentales de las personas afectadas. (18) Los Estados miembros tienen la obligación de establecer sanciones por el incumplimiento de las disposiciones adoptadas; y (19) El derecho a reparación de toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con la Directiva.

(23) Dado que la obligación de los proveedores de servicios de comunicación electrónica debe ser proporcionada, la Directiva exige que se conserven exclusivamente los datos generados o tratados en el proceso del suministro de servicios de comunicación. Siempre que dichos datos no hayan sido generados o tratados por dichos proveedores, no es obligatorio conservarlos. La presente Directiva no tiene por objeto la armonización de la tecnología de conservación de datos, cuya elección es una cuestión que debe resolverse a nivel nacional.

Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 en lo relativo a la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones.

Articulo 5

Categorías de datos que deben conservarse

1. Los Estados miembros garantizarán que las siguientes categorías de datos se conserven de conformidad con la presente Directiva:

 a) datos necesarios para rastrear e identificar el origen de una

comunicación:

  1) con respecto a la telefonía de red fija y a la telefonía móvil:

   i) el número de teléfono de llamada,

   ii) el nombre y la dirección del abonado o usuario registrado;

  2) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

   i) la identificación de usuario asignada,

   ii) la identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía,

   iii) el nombre y la dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo

Internet (IP), una identificación de usuario o un número de teléfono;

 b) datos necesarios para identificar el destino de una comunicación:

  1) con respecto a la telefonía de red fija y a la telefonía móvil:

   i) el número o números marcados (el número o números de teléfono de destino) y, en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas,

   ii) los nombres y las direcciones de los abonados o usuarios registrados;

  2) con respecto al correo electrónico por Internet y a la telefonía por Internet:

   i) la identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet,

   ii) los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación;

 c) datos necesarios para identificar la fecha, hora y duración de una comunicación:

  1) con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación,

  2) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

   i) la fecha y hora de la conexión y desconexión del servicio de acceso a Internet, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, así como la identificación de usuario del abonado o del usuario registrado,

   ii) la fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario;

 d) datos necesarios para identificar el tipo de comunicación:

  1) con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado,

  2) con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado;

 e) datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

  1) con respecto a la telefonía de red fija: los números de teléfono de origen y destino,

  2) con respecto a la telefonía móvil:

   i) los números de teléfono de origen y destino,

   ii) la identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada,

   iii) la identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada,

   iv) la IMSI de la parte que recibe la llamada,

   v) la IMEI de la parte que recibe la llamada,

   vi) en el caso de los servicios anónimos de pago por adelantado, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio;

  3) con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

   i) el número de teléfono de origen en caso de acceso mediante marcado de números,

  ii) la línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación;

 f) datos necesarios para identificar la localización del equipo de

comunicación móvil:

1) la etiqueta de localización (identificador de celda) al comienzo de la comunicación,

2) los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.

2. De conformidad con la presente Directiva, no podrá conservarse

ningún dato que revele el contenido de la comunicación.

Artículo 6 Períodos de conservación Los Estados miembros garantizarán que las categorías de datos mencionadas en el artículo 5 se conserven por un período de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación.

Artículo 9 Autoridades de control

1. Cada Estado miembro nombrará una o más autoridades públicas responsables de controlar la aplicación en su territorio de las disposiciones adoptadas por los Estados miembros de conformidad con el artículo 7 en relación con la seguridad de los datos conservados. Dichas autoridades podrán ser las mencionadas en el artículo 28 de la Directiva 95/46/CE.

2. Las autoridades mencionadas en el apartado 1 actuarán con plena independencia en el ejercicio del control a que se refiere el apartado 1.

La vinculación entre las ciencias y técnicas relativas a la informática y a la geografía al evocar la noción de Geolocalización, y las ciencias jurídicas y administrativas relativas a la identificación y a los derechos inherentes a los Datos Personales, son algunos elementos que subrayan la imbricación y complejidad del tema en su regulación. Si a ello, agregamos los diferentes conceptos, significantes, teorías utilizadas en disímiles lenguas y distintos sistemas jurídicos, administrativos, políticos podemos darnos una idea de las dificultades de la regulación nacional e internacional, particularmente, del derecho de la informática que regula la geolocalización, los datos  personales y las interconexiones de archivos.

2.2.         Datos personales

a)    UNION EUROPEA

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos define los daros Personales en su artículo 2:

«Datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)    FRANCIA

La Ley de Informática y Libertades de 1978, define en el artículo 2, los datos personales o datos de carácter personal: (…)

Constituirá un dato de carácter personal cualquier información relativa a una persona física identificada o identificable, directa o indirectamente, con referencia a un número de identificación o a uno o varios elementos propios de esta persona. Para determinar si una persona es identificable, se deberá tomar en consideración el conjunto de medios de los que dispone o a los que puede tener acceso el responsable del tratamiento o cualquier otra persona para permitir la identificación.

c)    ESPAÑA

 La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, define en su Artículo 3: Definiciones: 

A los efectos de la presente Ley Orgánica se entenderá por:

a) Datos de carácter personal: cualquier información concerniente a personas físicas  identificadas o identificables.

d)    PERU

La Ley N° 29733,  Protección de Datos Personales, define en su Artículo 2. Definiciones 

Para todos los efectos de la presente Ley, se entiende por:

                        (…)

4. Datos personales.

Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

El acento de las Directivas como su transposición en las leyes francesa y española sobre los datos personales insisten, en que aparte de tratarse de toda información en la Directiva Europea y  cualquiera información, en la ley peruana (e igualmente para los franceses y españoles) relativa a una persona física (o persona natural, para los peruanos) identificada; en que la identificabilidad del sujeto pueda determinarse directa o indirectamente, particularmente a un número de identificación, o uno o varios elementos específicos característicos de identidad física, fisiológica, psíquica, económica, cultural o social; pero también deberá tomarse en consideración el conjunto de medios de los que dispone o a los que puede tener acceso el responsable del tratamiento o cualquier otra persona, para permitir la identificación. Y es este precisamente el quid de la cuestión si pretendemos relacionar Geolocalización y Datos Personales.

Tenemos así dos formas de identificación, una evidente y una segunda probable, en función de varios elementos característicos de identidad  (física, fisiológica, psíquica, económica, cultural o social; sin incluir los elementos característicos a la identidad digital), además del conjunto de medios de los que dispone o a los que puede tener acceso el responsable del tratamiento o cualquier otra persona, para permitir la identificación, vinculando todo ello al tema de interconexión de ficheros.

3.     Interconexión de Ficheros

Sobre el concepto de interconexión de ficheros, partimos de dos premisas: una, proveniente de la convergencia de dos tecnologías vinculadas a la  globalización; la segunda, de la experiencia europea sobre las implicancias de los elementos constitutivos de la interconexión y sus formas, enunciadas ya en la primera parte.  Pero a su vez de un enfoque que resulta de ello: los principios aplicables a los datos personales.

3.1.         La primera premisa resulta de la infraestructura tecnológica en la que se basa Internet, y de la tecnología digital, que asegura la interoperabilidad, interconexión y funcionamiento de estos medios convergentes, permitiendo una vigilancia y control total de las actividades realizadas en el ciberespacio, tanto como establecen una interconexión entre ellas.

En atención a ello, diversas iniciativas, y particularmente aquella del Grupo del Artículo 29, creado a partir de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, avanzan la idea que pueden proponerse a estas premisas tecnológicas dos tendencias:

·       La primera tendencia, consistente en considerar que los ciudadanos deben mantener sus datos bajo control en todas las fases de los procedimientos administrativos y que la administración-empresas deben informarlos de los intercambios de datos correspondientes a las decisiones que se han tomado acerca de ellos.

·       La segunda tendencia, consiste en considerar que la simplificación administrativa exige, necesariamente, una “cierta pérdida de control de los datos personales” por parte del usuario, rindiendo insatisfactorias tanto las exigencias relativas a una mayor rapidez de la administración en línea y las relativas al suministro “tradicional” de información a los ciudadanos.  Esta segunda tendencia pudiera resultar ilusoria: el riesgo de que en la práctica ese control cedido sea excesivo; pensándose erróneamente que el usuario los controla, cuando en realidad son las normas y procedimientos que obligan a los individuos a facilitar o soportar el acopio, uso y tratamiento de sus datos por la administración.

Desde el punto vista del derecho, mantener bajo control sus datos personales por los usuarios y la obligación de información de sus usos e intercambios por terceros (individuos, empresas y/o  administración) es un derecho, pasible de ejercicio por sus titulares en la primera tendencia, pero sujeto a imperativos normativos a los cuales se obliga el propio Estado, y obliga a toda persona, bajo pena de responsabilidades y sanciones (principio de finalidad, de consentimiento, de proporcionalidad, de seguridad, de nivel de protección adecuado…).

Simétricamente, genera obligaciones de los titulares de la información personal (principio de calidad, de actualidad, de legitimidad,…) y derechos de terceros, sobre simplificación administrativa, interoperabilidad, normalización de procesos, conectividad, empleabilidad…). En la segunda tendencia, de perdida cierta de control, resulta más bien una obligación para los usuarios, ciudadanos, contribuyentes; y un derecho para los terceros, incluyendo un discutible derecho de posesión sobre los datos personales de terceros.

Sobre el particular, en su Libro Blanco, Pierre Truche, aborda la cuestión de la propiedad de los datos personales y llega a la conclusión que no somos propietarios de nuestros datos personales sino que estos son un atributo de la personalidad:

« Aun cuando la persona concernida no sea considerada el « autor » de la información cuanto  a la forma, sí lo es cuanto a sus elementos. Sus lazos con el individuo son bastantes estrechos para que sea de otra manera. Cuando el objeto de los datos es sujeto de derecho, la información es un atributo de la personalidad[8].»

Este atributo de la personalidad significa que la comunicación de las informaciones debe resultar del consentimiento del interesado o de las obligaciones legislativas o reglamentarias.

La simplificación administrativa, interoperabilidad, normalización de procesos, conectividad, control, empleabilidad son los argumentos esgrimidos por terceros para acopiar y tratar información personal de los usuarios, ciudadanos, contribuyentes quienes están obligados por la función de administración del Estado, o los propios titulares aceptan, toleran, permiten una cierta pérdida de control de sus datos personales.

Obviamente las motivaciones de los terceros difieren: en la autoridad pública las motivaciones son de administración delegada y servicio, mientras en los privados, generalmente, son de administración propia y beneficio.  En los primeros, una parte de la información personal acopiada y tratada servirá a identificar y conocer las necesidades nacionales, establecer Políticas Publicas, delinear Planes y Programas y proponer Estrategias y Proyectos de Desarrollo; en los segundos, se integraran las informaciones personales como materia prima a ser utilizada o intercambiada en el mercado, sobre la base del perfil del consumidor, incluyendo (particularmente) aquellas informaciones relativas a su privacidad, intimidad, honor, imagen, pero también como agente económico, fiscal, político.

En ambas tendencias de control de la información, por los usuarios o por la administración pública o terceros, se tratará siempre de establecer el quantum: ¿cuánta vigilancia o control o cuánto beneficio de unos y otros? Y ¿cuánto riesgo que los modelos basados en la representación democrática pueden soportar o resistir sobre el conocimiento o perfil profundo de los administradores y de los administrados?

De otro lado, la falta de control o  la vigilancia y el control cedido sobre los datos personales incrementa exponencialmente los riesgos en los casos de vinculación de archivos o tratamientos de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, específicamente los regulados por la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002.

3.2.         En la segunda premisa, la experiencia europea sobre las implicancias de los elementos constitutivos de la interconexión y sus formas, ponen en evidencia la:

 1. Interconexión como vinculación automática de informaciones provenientes de archivos o tratamientos que estaban previamente separados.

El objeto de la interconexión es la vinculación automática de los ficheros o tratamientos de datos personales; mientras la aproximación es diferente de la interconexión por dos razones: la aproximación no implica necesariamente el uso de medios automatizados. La aproximación puede ser realizada  dentro de un mismo tratamiento o archivo, mientras que una interconexión implica dos archivos distintos. La norma no indica si existe interconexión cuando uno de los archivos no es automatizado, ni si pudiera tratarse de ficheros o tratamientos provenientes de la administración pública y/o privada, ni si se trata de alguna institución que administra datos o informaciones.

2. Algunas interconexiones están sujetas a autorización previa[9]. Los archivos interconectados procedentes de diferentes intereses públicos o de tratamientos que tienen diferentes finalidades.

   

3. Una interconexión puede adoptar diferentes formas: unidireccional; bidireccional, puede ser puntual o permanente⁷.

Es especialmente importante el respeto a este derecho fundamental en las interconexiones de bases de datos de Administraciones Públicas, ya que éstas incrementan el riesgo y suponen una mayor injerencia en el derecho fundamental a la protección de datos personales.

El incumplimiento de estos derechos puede generar sanciones de orden civil, administrativo, o incluso penal, dependiente de cada legislación.

Cuanto a las excepciones a dichos derechos fundamentales, han sido previstos aquellos derivados de la seguridad de estado, de la defensa nacional, los intereses monetarios, la persecución de delitos, la protección de la salud pública, entre otros.

Las interconexiones deben respetar diferentes principios que regulan los datos personales, principalmente, el principio de proporcionalidad, lo que implica valorar en cada caso, el difícil balance entre el fin de la interconexión - el interés público y las potenciales ventajas para los ciudadanos - y la limitación que esto supone en el derecho fundamental a la protección de datos personales  - especialmente en lo ateniente a la tipología de los datos objeto de tratamiento.

3.3.         Enfoque resultante: principios aplicables a los datos personales.

Las diversas comunicaciones de datos entre administraciones públicas: transparencia, accesos, interconexiones, asociaciones, son consubstanciales a las administraciones públicas. Como fue señalado por el Grupo de Trabajo del Artículo 29[10]:

“De momento podemos observar el desarrollo de diferentes tipos de proyectos de administración en línea que consisten en la creación y la promoción del suministro de procedimientos administrativos en línea. El éxito de algunos de ellos depende de complejas cuestiones relacionadas con la protección de datos que se habrán de estudiar atentamente.

A título de ejemplo podemos mencionar el establecimiento de puntos de entrada únicos a los servicios de administración en línea, la creación de identificadores únicos y la interconexión de las bases de datos públicas”.

Igualmente, además del Informe Truche, varios otros informes fueron dirigidos al Gobierno francés sobre la Administración en línea y la protección de los datos personales, por la Comisión Nacional de Informática y Libertades, CNIL recordando su doctrina consistente en rechazar una interconexión generalizada de los ficheros. Para la CNIL, la Administración en línea no debería suponer un aumento del control ejercido en los individuos, que deriva principalmente de las interconexiones.

El criterio fijado por algunas administraciones públicas (España) contiene especificidades, tanto en el acopio como en la cesión de los datos, neutralizándose  vía excepción, el principio del consentimiento para el desarrollo de sus competencias. La Ley Orgánica de Protección de Datos española (Artículos 6.2[11] y 21.1[12]) prevén la posibilidad que mediante habilitación legal se sustituya el consentimiento personal elaborándose excepciones dispositivas de carácter general para la creación de los ficheros públicos.

El éxito de algunas habilitaciones depende de complejas cuestiones relacionadas con la protección de datos. A título de ejemplo podemos mencionar el establecimiento de puntos de entrada únicos a los servicios de administración en línea, la creación de identificadores únicos y la interconexión de las bases de datos públicas. Sus ventajas, sobre todo de comodidad para sus titulares resultante de intercomunicación de datos entre Administraciones Públicas al evitarse presentar determinados documentos se pueden convertir en perjuicios, si esto supone una interconexión generalizada de bases de datos públicas que, dada la ingente cantidad de información, no sólo establecen perfiles de las personas sino que suprimen de hecho la privacidad, intimidad, el honor o la imagen de las personas y el libre desarrollo de la personalidad, sustituyendo el control sobre la propia información personal por un control de la Administración sobre los individuos

El principio es que la comunicación de datos sólo puede producirse entre Administraciones Públicas cuando exista consentimiento del interesado o una habilitación legal. La Administración electrónica no debe ser una excepción, posibilidad de comunicación de datos con el consentimiento del interesado - expresada también por medios electrónicos - y la habilitación legal. La Administración electrónica debe respetar, además, la regulación específica del consentimiento sobre los datos sensibles, especialmente protegidos. Además, la previsión legal o la propuesta del consentimiento del interesado debe respetar en todo momento el principio de finalidad, calidad y el principio de proporcionalidad. De manera especial, el principio de la proporcionalidad exige en sentido estricto, que la medida adoptada - la injerencia en el derecho fundamental a la protección de datos personales -  sea ponderada o equilibrada con el fin que se persigue, teniendo en cuenta la naturaleza del derecho lesionado, la intensidad de la injerencia y el bien o valor constitucional que se persigue.

Esto obliga a valorar en cada caso el equilibro entre el fin de la interconexión - el interés público y las potenciales ventajas para los ciudadanos en un procedimiento administrativo concreto - y las limitaciones al derecho fundamental a la protección de datos personales; expectativas expresadas por los ciudadanos en términos de eficacia y eficiencia de los servicios públicos sino también de la protección de sus datos personales[13]. También, es necesario llevar a cabo un balance de necesidad, sobre la existencia de medios alternativos y ventajas reciprocas de la administración pública y de los ciudadanos con un menor nivel de intromisión. Todo ello evidencia la falta de regulación más específica sobre las interconexiones de datos personales.

Es necesario que las Autoridades de Protección de Datos informen regularmente de la solicitudes de interconexión y que las Administraciones Públicas introduzcan todas las garantías posibles que permitan un mayor equilibro entre el interés público y los límites al derecho a la protección de datos personales.

La legitimidad de las comunicaciones de datos entre Administraciones Públicas, a consecuencia de la existencia de una relación jurídica cuyo desarrollo cumplimiento y control requiere la conexión con ficheros de terceros, también habilita la creación de registros telemáticos comunes que permitan la comunicación de datos entre el registro telemático y la Administración destinataria en quien resida la competencia para la tramitación y resolución de la solicitud.

Inicialmente, la  Ley Orgánica de Protección de Datos, LOPD española, permitía la comunicación de datos entre Administraciones Públicas para el ejercicio de competencias diferentes o de competencias sobre materias distintas, cuando esta comunicación hubiera sido prevista por la disposición de creación de fichero o por disposición de rango superior que regule su uso. Sin embargo, esta previsión legal fue declarada inconstitucional a partir de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre[14], de forma que sólo es legítima la comunicación de datos entre Administraciones Públicas sin el consentimiento del interesado cuando sea para el ejercicio de competencias semejantes o de competencias sobre las mismas materias. La comunicación de datos entre Administraciones Públicas para funciones o materias distintas exige una habilitación legal expresa o el consentimiento del interesado. Por tanto, no basta con que técnicamente sea posible la comunicación de los ficheros de las distintas Administraciones Públicas, es necesario que sea jurídicamente legítima.

Puede afirmarse así que la comunicación de bases de datos entre Administraciones Públicas afecta esencialmente al principio de finalidad  - que sea un tratamiento para la misma finalidad -  o al principio de consentimiento  - que se requiera el consentimiento cuando es para una finalidad distinta, salvo que haya una habilitación legal. Así, no es legítimo ni razonable la comunicación o interconexión generalizada de bases de datos públicas. No es legítimo que un dato personal facilitado por el interesado para una finalidad sea empleado para finalidades distintas y por Administraciones distintas.

La comunicación de datos sólo puede darse entre Administraciones Públicas que actúan en el ámbito de sus competencias lo que habilita para comprobar si la Administración cesionaria tiene la competencia administrativa que reclama. Además, los datos deben ser cancelados por la Administración cesionaria cuando se haya cumplido la finalidad para la cual han sido recabados.

En ciertos casos, en términos de forma, la Administración electrónica no sólo permite el acceso automatizado sino también la interconexión permanente de bases de datos, desnaturalizando l criterio excepcional o transitorio.

En todo caso, hay que tener en cuenta que no es lo mismo el acceso automatizado que la interconexión entre bases de datos ya que el segundo supuesto incrementa el riesgo y supone una mayor injerencia en el derecho fundamental a la protección de datos. Así, mientras que en el acceso automatizado es sencillo que el responsable del fichero lleve a cabo una comprobación individualizada de que la cesión cumple la legislación de protección de datos y, especialmente, de las causas de legitimación para la cesión  - que existe el consentimiento del interesado, una habilitación legal, una relación negocial o que sea para competencias semejantes sobre materias comunes -  y del principio de calidad. Esto es más complejo en el caso de las interconexiones de bases de datos, donde desaparece la supervisión administrativa del cumplimiento en cada caso de los requisitos legales y que sólo puede implementarse si esta evaluación es desarrollada ex ante y si los sistemas de información permiten una comprobación automatizada del cumplimiento de los requisitos legales para la comunicación que garanticen el respeto al derecho fundamental a la protección de datos personales

Hay que recordar que si la Administración se apoya en empresas externas para desarrollar los servicios públicos electrónicos es necesaria la existencia de un contrato escrito por el cual la empresa se constituya en encargado del tratamiento y se obligue a lo establecido en el artículo 12 de la LOPD española[15]. Esto ocurre en el caso de las autoridades de validación en lo relativo al DNI electrónico. Así, en este último caso, si bien las funciones de autoridad de registro  - que toma los datos acreditativos de la identidad personal, fotografía, firma manuscrita, huella digital -  y la autoridad de certificación  - que expide los certificados electrónicos -  es la Dirección General de la Policía, las autoridades de validación  - que ofrecen al ciudadano servicios en los que reconoce el DNI electrónico y se comprueba la identidad y la vigencia de la firma -  pueden ser tanto Entidades Públicas como privadas, siempre dentro del marco jurídico de encargados del tratamiento, por lo que deben cumplirse los requisitos establecidos en el artículo 12 de la LOPD[16].

También puede acudirse a la figura del encargado del tratamiento cumpliendo lo establecido en el artículo 12 de la LOPD a los efectos de alojar el sitio web de las Administraciones Públicas en servidores de terceros, por lo que la utilización de los servidores de otros Departamentos dentro de la misma persona jurídica pública no sería una cesión  sino un acceso vinculado al principio de finalidad. Corresponde al Departamento titular de la información asumir la responsabilidad de posibles infracciones, así como garantizar los derechos de acceso, rectificación y cancelación.

4.     Decreto Legislativo N° 1182 del Perú, amenaza o viola privacidad o intimidad? O instrumenta la interconexión de ficheros?

4.1.         Objeto, Finalidad, Procedimientos y Disposiciones.

El objeto de la norma es: “fortalecer las acciones de prevención, investigación y combate de la delincuencia común y el crimen organizado, a través del uso de tecnologías de la información y comunicaciones por parte de la Policía Nacional del Perú” (Artículo 1)

Su finalidad es: “regular el acceso de la unidad especializada de la Policía Nacional del Perú, en casos de flagrancia delictiva, a la localización o geolocalización de teléfonos móviles o dispositivos electrónicos de naturaleza similar”. (Artículo 2)

El procedimiento se inicia de verificarse la procedencia, basada en la concurrencia de tres supuestos:

a. Cuando se trate de flagrante delito, de conformidad con lo dispuesto en el artículo 259 del Decreto Legislativo Nº 957, Código Procesal Penal.

b. Cuando el delito investigado sea sancionado con pena superior a los cuatro años de privación de libertad.

c. El acceso a los datos constituya un medio necesario para la investigación. (Artículo 3)

De verificarse la procedencia, el Procedimiento aborda una primera fase, de coordinaciones, en la cual participan la Policía, la Fiscalía y los Concesionarios de telecomunicaciones. 

La Policía pone en conocimiento del Ministerio Público el hecho y formula el requerimiento a la unidad especializada de la Policía Nacional del Perú para efectos de la localización o geolocalización.

La unidad especializada de la Policía Nacional del Perú que recibe el requerimiento, previa verificación del responsable de la unidad solicitante, cursa el pedido a los concesionarios de los servicios públicos de telecomunicaciones o a las entidades públicas relacionadas con estos servicios, a través del correo electrónico institucional u otro medio idóneo convenido.

Los concesionarios de servicios públicos de telecomunicaciones o las entidades públicas relacionadas con estos servicios, están obligados a brindar los datos de localización o geolocalización de manera inmediata, las veinticuatro (24) horas del día de los trescientos sesenta y cinco (365) días del año, bajo apercibimiento de ser pasible de las responsabilidades de ley en caso de incumplimiento.

La unidad a cargo de la investigación policial realiza las diligencias pertinentes en consideración la información obtenida y a otras técnicas de investigación, sin perjuicio de lo establecido en el artículo 5. (Artículo 4)

El Procedimiento continúa una segunda fase de  judicial  

La unidad a cargo de la investigación policial, dentro de las 24 horas de comunicado el hecho al Fiscal correspondiente, le remitirá un informe que sustente el requerimiento para su convalidación judicial.

El Fiscal dentro de las veinticuatro (24) horas de recibido el informe, solicita al Juez la convalidación de la medida.

El juez competente resolverá mediante trámite reservado y de manera inmediata, teniendo a la vista los recaudos del requerimiento fiscal, en un plazo no mayor de 24 horas. La denegación del requerimiento deja sin efecto la medida y podrá ser apelada por el Fiscal. El recurso ante el juez superior se resolverá en el mismo plazo y sin trámite alguno.

El juez que convalida la medida establecerá un plazo que no excederá de sesenta (60) días. Excepcionalmente podrá prorrogarse por plazos sucesivos, previo requerimiento sustentado del Fiscal. (Artículo 5)

El Decreto Legislativo N° 1182 precisa que esta norma está referida estrictamente a los datos de localización o geolocalización excluyéndose expresamente cualquier tipo de intervención de las telecomunicaciones, las que se rigen por los procedimientos correspondientes (Artículo 6), estableciéndose: 

·       las responsabilidades administrativas, civiles y penales por el uso indebido o actos de simulación de denunciantes y personal policial, o todos aquellos que valiéndose de su oficio, posición, jerarquía, autoridad o cargo público induzcan, orienten o interfieran de algún modo en el procedimiento.

·       las reservas correspondientes de los concesionarios e servicios o las entidades públicas relacionadas con estos servicios, así como las que participan en el proceso de acceso a los datos de localización o geolocalización. (Artículo 7)

·       la exención de responsabilidad de los concesionarios de servicios públicos de telecomunicaciones o las entidades públicas relacionadas con estos servicios por el suministro de datos de localización o geolocalización, en el marco del presente decreto legislativo.

Entre las Disposiciones Complementarias Finales se prevé:

·      

la implementación de mecanismos de acceso exclusivo a la unidad especializada de la Policía Nacional del Perú para la entrega de los datos de localización o geolocalización de teléfonos móviles o dispositivos electrónicos de naturaleza similar por los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas o privadas relacionadas con estos servicios;

·       la conservación de los datos derivados de las telecomunicaciones durante los primeros doce (12) meses en sistemas informáticos que permitan su consulta y entrega en línea y en tiempo real. Concluido el referido periodo, deberán conservar dichos datos por veinticuatro (24) meses adicionales, en un sistema de almacenamiento electrónico, por los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas relacionadas con estos servicios;

·       la implementación de mecanismos de advertencia al destinatario de una comunicación producida desde un establecimiento penitenciario o de inmediaciones a este, a través de un mensaje previo indicando esta circunstancia por los concesionarios de servicios públicos de telecomunicaciones.

·       la comunicación a la unidad especializada el reporte de los datos identificatorios de teléfonos móviles o dispositivos electrónicos de naturaleza similar cuyas llamadas proceden de establecimientos penitenciarios por los concesionarios de servicios públicos de telecomunicaciones

·       las infracciones y sanciones aplicables a los sujetos obligados brindar acceso a datos derivados de Telecomunicaciones, por el incumplimiento de las obligaciones establecidas en la presente norma y su reglamento por el Ministerio de Transportes y Comunicaciones y el Organismo Regulador de las Telecomunicaciones (OSIPTEL), mediante Decreto Supremo.

Entre las Disposiciones Finales Transitorias, se:

·       elaborarán, en un plazo no mayor de treinta (30) días, los Protocolos para el mejor acceso de los datos de localización o geolocalización días por la unidad especializada de la Policía Nacional del Perú en coordinación con los concesionarios de servicios públicos de telecomunicaciones y con el apoyo técnico de la Dirección Ejecutiva de Tecnología de Información y Comunicaciones de la Policía Nacional del Perú;

·       diseñarán e implementarán las herramientas tecnológicas necesarias que viabilicen la aplicación de la presente norma, treinta (30) días, a partir de la emisión de los citados protocolos, por los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas o privadas relacionadas con estos servicios y la unidad especializada con apoyo técnico de la Dirección Ejecutiva de Tecnología de Información y Comunicaciones de la Policía Nacional del Perú;

·       proporcionarán los recursos logísticos económicos, para el fortalecimiento de la unidad especializada de la Policía Nacional del Perú por el Ministerio del Interior;

·       dotará de personal calificado necesario a la a la unidad especializada para el mejor cumplimiento de sus funciones e implementará un procedimiento especial de selección que incluirá la entrevista personal, exámenes toxicológicos y psicológicos, así como la prueba del polígrafo, por la Policía Nacional del Perú. Dicho personal estará sujeto a evaluación permanente. La Dirección Ejecutiva de Educación y Doctrina de la Policía Nacional del Perú establece cursos de capacitación, especialización y perfeccionamiento para el personal de la unidad especializada a la que se refiere el presente decreto legislativo.

4.2.    El Decreto  Legislativo N° 1182 amenaza o viola privacidad o intimidad? O instrumenta la interconexión de ficheros?

          4.2.1. Amenaza o Viola la privacidad o intimada de las personas?

En la Primera parte de este artículo, definimos los datos de localización como: “Todos los datos tratados en una red de comunicaciones electrónicas que indican la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas accesibles al público”. (Art. 2 Definiciones, inciso c) de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas)

Diferenciamos en esa sección, los datos de localización con los datos de tráfico, indicando que solo podrán tratarse los primeros, bajo determinados supuestos:

·       Si antes de obtener el consentimiento de los usuarios o abonados se les informa  sobre los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido; pudiendo retirar estos su consentimiento en todo  momento;

·       si se anonimizan;

·       si puede seguir contando - el usuario o abonado - con la posibilidad, por un procedimiento sencillo y gratuito, de rechazar temporalmente el tratamiento de tales datos para cada conexión a la red o para cada transmisión de una comunicación.

Sin embargo, en el Considerando (9) de la Directiva 2002/58/CE, de conformidad con el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH), estima que toda persona tiene derecho al respeto de su vida privada y de su correspondencia. No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho salvo cuando esa injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria, entre otras cosas, para la seguridad nacional o la seguridad pública, la prevención de desórdenes o delitos, o la protección de los derechos y las libertades de terceros.

No obstante ello, si pensamos en la aplicación del D. Legis N° 1182 en el Perú, sería conveniente antes, reflexionar sobre su posible implementación en base a los supuestos planteados por la Directiva 2002/58/CE modificada Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 en lo relativo a la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones sobre los datos de tráfico que serán tratados, la finalidad y duración del tratamiento, y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido; si se anonimizan y si puede el usuario o abonado rechazar temporalmente el tratamiento para cada conexión en la red o para cada transmisión. Es evidente, que aludiéndose a causas que relevan de la seguridad nacional o la seguridad pública, la prevención de desórdenes o delitos, o la protección de los derechos y las libertades de terceros, resultaría improcedente el retiro de su consentimiento a los usuarios o abonados en todo  momento.

La Directiva 2002/58/CE se refiere solo a los datos de conexión y a los datos de tráfico, datos generados o tratados como consecuencia de una comunicación o de un servicio de comunicación y no a los datos que constituyen el contenido de la información comunicada.

Los datos generados o tratados, cuando se presten servicios de comunicaciones electrónicas, se refieren a los datos accesibles. En particular, en lo referente a la conservación de datos relativos a los correos electrónicos y la telefonía por Internet, la obligación de conservar datos sólo puede aplicarse con respecto a los datos de los servicios propios de los proveedores o de los proveedores de redes.

Las sanciones y reparaciones referidas a las interconexiones debieran ser fijadas tanto por el  Ministerio de Transportes y Comunicaciones y OSIPTEL, como en lo relativo a los datos personales, debieran convalidarse o establecerse acorde con la normativa prevista en la Autoridad Nacional de Protección de Datos Personales, APDP adscrita al Ministerio de Justicia, incluso el D. Legis N° 1182 ya lo hizo en la normativa penal.

En el Considerando 23, de la Directiva 2002/58/CE se estima que: la obligación de los proveedores de servicios de comunicación electrónica debe ser proporcionada, la Directiva exige que se conserven exclusivamente los datos generados o tratados en el proceso del suministro de servicios de comunicación. Siempre que dichos datos no hayan sido generados o tratados por dichos proveedores, no es obligatorio conservarlos.

4.2.2. Instrumenta la interconexión de ficheros?

No, el D. Legis N° 1182, tal como ha sido propuesto no instrumenta la interconexión, pero ello no descarta que otras instituciones del Estado puedan estar haciéndolo; peor, que otras empresas o instituciones privadas lo estén realizando, escalable y verticalmente con instituciones financieras y banca.  El problema es que la Autoridad Nacional de Protección de Datos Personales, no tiene la suficiente autonomía, recursos, ni autoridad técnica que permite el seguimiento y control, al  menos hoy.

Sin embargo, el D. Legis N° 1182 devela un sesgo peligroso en el proceso penal, la convalidación por la autoridad judicial a posteriori, sobre lo actuado, en lo que he llamado Fase de Coordinaciones, por la Unidad especializada de la Policía, la Fiscalía y los Concesionarios de telecomunicaciones.

La Policía, la Fiscalía, el Poder Judicial, tanto como algunas  de los Concesionarios de telecomunicaciones afrontan una severa crisis de confianza por parte de los ciudadanos, instituciones, justiciables sobre interferencias, escuchas ilegales, que no han sido resueltas, o que todavía se encuentran en Fase de Investigación, o de Juzgamiento.

Es un triste antecedente, pero aún se encuentra pendiente la re implementación del sistema de bloqueadores de comunicaciones desde o hacia los establecimientos penitenciarios cuya responsabilidad recae en el Instituto Nacional Penitenciario, INPE,– para las comunicaciones móviles –; sin que deje de aumentar el número de dispositivos terminales requisados.

Tampoco existen contrapesos institucionales que puedan asegurar la neutralización de amenazas o perpetración de legicidos, el Derecho de Tutela reconocido en el artículo 24.1 de la Constitución española, podría servir para que en determinados procesos, como el presente, se apele a un representante de la Defensoría del Pueblo o la APDP, en la Fase de Coordinación.

A todo lo anterior, se puede agregar que la normativa peruana, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, prevista en el 2002/58/CE es inexistente; y que la aplicable a la protección de datos personales en soporte físico y digital está condicionada por la falta de autonomía de la APDP y una marcada tolerancia por la mercantilización de los datos, lo que no arregla mucho las cosas..

El tema analizado, recién se desbroza, este no es sino un aporte preliminar, incompleto pero que evoca las ventajas y derivas de la interoperabilidad y de las  interconexiones, pero a su vez la presencia de un fenómeno no previsto por nuestros legisladores: la protección de los datos personales en el ámbito de las telecomunicaciones. 

ANEXO 1

DECRETO LEGISLATIVO Nº 1182

EL PRESIDENTE DE LA REPUBLICA

POR CUANTO:

Que, mediante Ley Nº 30336 el Congreso de la República ha delegado en el Poder Ejecutivo la facultad de legislar en materia de fortalecimiento de la seguridad ciudadana, lucha contra la delincuencia y el crimen organizado, por un plazo de noventa (90) días calendario;

Que, el literal a) del artículo 2 de la Ley Nº 30336 faculta al Poder Ejecutivo para fortalecer la seguridad ciudadana, la lucha contra la delincuencia y el crimen organizado, en especial para combatir el sicariato, la extorsión, el tráfico ilícito de drogas e insumos químicos, la usurpación y tráfico de terrenos y la tala ilegal de madera;

Que, en el literal d) del artículo 2 de la citada Ley faculta al Poder Ejecutivo para potenciar la capacidad operativa de la Policía Nacional del Perú;

De conformidad con lo establecido en el artículo 104de la Constitución Política del Perú;

Con el voto aprobatorio del Consejo de Ministros; y,

Con cargo a dar cuenta al Congreso de la República;

Ha dado el Decreto Legislativo siguiente:

DECRETO LEGISLATIVOQUE REGULA EL USO DE LOS DATOSDERIVADOS DE LAS TELECOMUNICACIONESPARA LA IDENTIFICACIÓN, LOCALIZACIÓNY GEOLOCALIZACIÓN DE EQUIPOS DECOMUNICACIÓN, EN LA LUCHA CONTRA LA
DELINCUENCIA Y EL CRIMEN ORGANIZADO

Artículo 1.- Objeto

El presente decreto legislativo tiene por objeto fortalecer las acciones de prevención, investigación y combate de la delincuencia común y el crimen organizado, a través del uso de tecnologías de la información y comunicaciones por parte de la Policía Nacional del Perú.

Artículo 2.- Finalidad

La finalidad del presente decreto legislativo es regular el acceso de la unidad especializada de la Policía Nacional del Perú, en casos de flagrancia delictiva, a la localización o geolocalización de teléfonos móviles o dispositivos electrónicos de naturaleza similar.

Artículo 3.- Procedencia

La unidad a cargo de la investigación policial solicita a la unidad especializada el acceso inmediato a los datos de localización o geolocalización de teléfonos móviles o dispositivos electrónicos de naturaleza similar, siempre que concurran los siguientes presupuestos:

a. Cuando se trate de flagrante delito, de conformidad con lo dispuesto en el artículo 259 del Decreto Legislativo Nº 957, Código Procesal Penal.

b. Cuando el delito investigado sea sancionado con pena superior a los cuatro años de privación de libertad.

c. El acceso a los datos constituya un medio necesario para la investigación.

Artículo 4.- Procedimiento

4.1 La unidad a cargo de la investigación policial, una vez verificados los supuestos del artículo precedente, pone en conocimiento del Ministerio Público el hecho y formula el requerimiento a la unidad especializada de la Policía Nacional del Perú para efectos de la localización o geolocalización.

4.2 La unidad especializada de la Policía Nacional del Perú que recibe el requerimiento, previa verificación del responsable de la unidad solicitante, cursa el pedido a los concesionarios de los servicios públicos de telecomunicaciones o a las entidades públicas relacionadas con estos servicios, a través del correo electrónico institucional u otro medio idóneo convenido.

4.3 Los concesionarios de servicios públicos de telecomunicaciones o las entidades públicas relacionadas con estos servicios, están obligados a brindar los datos de localización o geolocalización de manera inmediata, las veinticuatro (24) horas del día de los trescientos sesenta y cinco (365) días del año, bajo apercibimiento de ser pasible de las responsabilidades de ley en caso de incumplimiento.

4.4 La unidad a cargo de la investigación policial realiza las diligencias pertinentes en consideración la información obtenida y a otras técnicas de investigación, sin perjuicio de lo establecido en el artículo 5.

Artículo 5.- Convalidación Judicial

5.1 La unidad a cargo de la investigación policial, dentro de las 24 horas de comunicado el hecho al Fiscal correspondiente, le remitirá un informe que sustente el requerimiento para su convalidación judicial.

5.2 El Fiscal dentro de las veinticuatro (24) horas de recibido el informe, solicita al Juez la convalidación de la medida.

5.3 El juez competente resolverá mediante trámite reservado y de manera inmediata, teniendo a lobista los recaudos del requerimiento fiscal, en un plazo no mayor de 24 horas. La denegación del requerimiento deja sin efecto la medida y podrá ser apelada por el Fiscal. El recurso ante el juez superior se resolverá en el mismo plazo y sin trámite alguno.

5.4 El juez que convalida la medida establecerá un plazo que no excederá de sesenta (60) días. Excepcionalmente podrá prorrogarse por plazos sucesivos, previo requerimiento sustentado del Fiscal.

Artículo 6.- Exclusión y protección del secreto delas telecomunicaciones

El presente decreto legislativo está referido estrictamente a los datos de localización o geolocalización se excluyen expresamente cualquier tipo de intervención de las telecomunicaciones, las que se rigen por los procedimientos correspondientes.

Artículo 7.- Responsabilidades por uso indebido de los datos de localización o geolocalización

7.1 Los denunciantes o el personal policial que realicen actos de simulación de hechos conducentes a la aplicación de la intervención excepcional de la Unidad Especializada de la Policía Nacional del Perú son pasibles de sanción administrativa, civil y penal según corresponda.

7.2 Los que valiéndose de su oficio, posición, jerarquía, autoridad o cargo público induzcan, orienten o interfieran de algún modo en el procedimiento establecido en el Artículo 4, son pasibles de sanción administrativa, civil y penal según corresponda.

7.3 Los concesionarios de servicios públicos de telecomunicaciones o las entidades públicas relacionadas con estos servicios así como las que participan en el proceso de acceso a los datos de localización o geolocalización, están obligados a guardar reserva, bajo responsabilidad administrativa, civil y penal según corresponda.

Artículo 8.- Exención de responsabilidad

Los concesionarios de servicios públicos de telecomunicaciones o las entidades públicas relacionadas con estos servicios están exentos de responsabilidad por el suministro de datos de localización o geolocalización, en el marco del presente decreto legislativo.

Artículo 9.- Financiamiento

La implementación de las acciones correspondientes al pliego Ministerio del Interior previstas en el presente Decreto Legislativo, se financian con cargo al presupuesto institucional de dicho pliego, sin demandar recursos adicionales al Tesoro Público.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- Implementación

Para los efectos de la entrega de los datos de localización o geolocalización de teléfonos móviles o dispositivos electrónicos de naturaleza similar, los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas o privadas relacionadas con estos servicios, implementan mecanismos de acceso exclusivo a la unidad especializada de la Policía Nacional del Perú.

Segunda.- Conservación de los datos derivados de las telecomunicaciones

Los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas relacionadas con estos servicios deben conservar los datos derivados de las telecomunicaciones durante los primeros doce (12) meses en sistemas informáticos que permitan su consulta y entrega en línea y en tiempo real. Concluido el referido periodo, deberán conservar dichos datos por veinticuatro (24) meses adicionales, en un sistema de almacenamiento electrónico.

La entrega de datos almacenados por un periodo no mayor a doce meses, se realiza en línea y en tiempo real después de recibida la autorización judicial. Para el caso de los datos almacenados por un periodo mayor a doce meses, se hará entrega dentro de los siete (7) días siguientes a la autorización judicial, bajo responsabilidad.

Tercera.- Auditoría Operativa

La Inspectoría General del Ministerio del Interior y la Inspectoría General de la Policía Nacional del Perú realizarán auditorías operativas relacionadas con el cumplimiento del presente decreto legislativo.

Cuarta.- Contraloría General de la República

La Contraloría General de la República, a través del Órgano de Control Institucional y en el marco del Sistema Nacional de Control, vela por el adecuado cumplimiento de lo dispuesto en el presente decreto legislativo.

Quinta.- Mecanismos de advertencia y reporte de datos

Los concesionarios de servicios públicos de telecomunicaciones implementarán mecanismos de advertencia al destinatario de una comunicación producida desde un establecimiento penitenciario o de inmediaciones a este, a través de un mensaje previo indicando esta circunstancia.

Los concesionarios de servicios públicos de telecomunicaciones comunicarán a la unidad especializada el reporte de los datos identificatorios de teléfonos móviles o dispositivos electrónicos de naturaleza similar cuyas llamadas proceden de establecimientos penitenciarios.

Sexta.- Infracciones y Sanciones relativas a empresas operadoras

El Ministerio de Transportes y Comunicaciones y el Organismo Regulador de las Telecomunicaciones (OSIPTEL), mediante Decreto Supremo, establecerán las infracciones y sanciones aplicables a los sujetos obligados brindar acceso a datos derivados de Telecomunicaciones, por el incumplimiento de las obligaciones establecidas en la presente norma y su reglamento.

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

Primera.- Plazos para la implementación

En un plazo no mayor de treinta (30) días la unidad especializada de la Policía Nacional del Perú en coordinación con los concesionarios de servicios públicos de telecomunicaciones y con el apoyo técnico de la Dirección Ejecutiva de Tecnología de Información y Comunicaciones de la Policía Nacional del Perú, podrán elaborar protocolos para el mejor acceso de los datos de localización o geolocalización.

En un plazo no mayor de treinta (30) días, a partir de la emisión de los citados protocolos, los concesionarios de servicios públicos de telecomunicaciones y las entidades públicas o privadas relacionadas con estos servicios y la unidad especializada con apoyo técnico de la Dirección Ejecutiva de Tecnología de Información y Comunicaciones de la Policía Nacional del Perú diseñarán e implementarán las herramientas tecnológicas necesarias que viabilicen la aplicación de la presente norma.

Segunda.- Fortalecimiento de la Unidad Especializada de la Policía Nacional del Perú

El Ministerio del Interior en un plazo no mayor de treinta (30) días, proporcionará los recursos logísticos económicos, para el fortalecimiento de la unidad especializada de la Policía Nacional del Perú. La Policía Nacional del Perú dotará del personal calificado necesario a la unidad especializada para el mejor cumplimiento de sus funciones e implementará un procedimiento especial de selección que incluirá la entrevista personal, exámenes toxicológicos y psicológicos, así como la prueba del polígrafo. Dicho personal estará sujeto a evaluación permanente.

La Dirección Ejecutiva de Educación y Doctrina de la Policía Nacional del Perú establece cursos de capacitación, especialización y perfeccionamiento para el personal de la unidad especializada a la que se refiere el presente decreto legislativo.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera.- Modificación del artículo 162 del Código Penal

Modifíquese el artículo 162 del Código Penal, el cual en adelante tendrá la siguiente redacción:

"Artículo 162. Interferencia telefónica

El que, indebidamente, interviene o interfiere o escucha una conversación telefónica o similar, será reprimido con pena privativa de libertad no menor de cinco ni mayor de diez años.

La pena privativa de libertad será no menor de diez ni mayor de quince años:

1. Cuando el agente tenga la condición de funcionario o servidor público, y se impondrá además la inhabilitación conforme al artículo 36, incisos 1, 2 y 4.

2. Cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con la Ley 27806, Ley de Transparencia y Acceso a la Información Pública.

3. Cuando el delito comprometa la defensa, seguridad o soberanía nacionales.

Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un tercio por encima del máximo legal previsto en los supuestos anteriores.

Segunda.- Incorporación del artículo 162-A al Código Penal

Incorpórese el artículo 162-A al Código Penal, con la siguiente redacción:

"Artículo 162-A. Posesión o comercialización de equipos destinados a la interceptación telefónica o similar

El que fabrica, adquiere, introduce al territorio nacional, posee o comercializa equipos o softwares destinados a interceptar ilegalmente las comunicaciones o similares, será reprimido con pena privativa de la libertad no menor de diez ni mayor de quince años."

Tercera.- Modificación del artículo 222 ­ A al Código Penal

Modifíquese el artículo 222-A del Código Penal, el cual en adelante tendrá la siguiente redacción:

"Artículo 222-A.- Penalización de la clonación o adulteración de terminales de telecomunicaciones

Será reprimido con pena privativa de libertad no menor de cuatro (4) ni mayor de seis (6) años, con sesenta (60) a trescientos sesenta y cinco (365) días multa, el que altere, reemplace, duplique o de cualquier modo modifique un número de línea, o de serie electrónico, o de serie mecánico de un terminal celular, o de IMEI electrónico o físico de modo tal que pueda ocasionar perjuicio al titular, al usuario del mismo, a terceros o para ocultar la identidad de los que realizan actos ilícitos."

Cuarta.- Modificación del artículo 368 ­ A al Código Penal

Modifíquese el artículo 368-A del Código Penal, el cual en adelante tendrá la siguiente redacción:

"Artículo 368-A.- Ingreso indebido de equipos o sistema de comunicación, fotografía y/o filmación en centros de detención o reclusión

El que indebidamente ingresa, intenta ingresar o permite el ingreso a un centro de detención o reclusión, equipos o sistema de comunicación, fotografía y/o filmación o sus componentes que permitan la comunicación telefónica celular o fija, radial, vía internet u otra análoga del interno, así como el registro de tomas fotográficas, de video, o proporcionen la señal para el acceso a internet desde el exterior del establecimiento penitenciario será reprimido con pena privativa de libertad no menor de cuatro ni mayor de seis años.

Si el agente se vale de su condición de autoridad, abogado defensor, servidor o funcionario público para cometer o permitir que se cometa el hecho punible descrito, la pena privativa será no menor de seis ni mayor de ocho años e inhabilitación, conforme al artículo 36, incisos 1 y 2, del presente Código."

Mando se publique y cumpla, dando cuenta al Congreso de la República.

Dado en la Casa de Gobierno, en Lima, a los veintiséis días del mes de julio del año dos mil quince.

OLLANTA HUMALA TASSO

Presidente de la República

PEDRO CATERIANO BELLIDO

Presidente del Consejo de Ministros

JOSÉ LUIS PÉREZ GUADALUPE

Ministro del Interior

GUSTAVO ADRIANZÉN OLAYA

Ministro de Justicia y Derechos Humanos

---

[1] Instituto de Ingeniería Eléctrica y Electrónica, IEEE

[2] Citemos solo algunos enlaces:

http://www.hiperderecho.org/2015/07/norma-policia-geolocalizacion-sin-orden-judicial-1182/

https://redaccion.lamula.pe/2015/07/30/lee-aqui-el-decreto-legislativo-1182-o-la-llamada-ley-stalker/jorgepaucar/

https://www.eff.org/es/deeplinks/2015/08/ley-stalker-del-peru-sera-revisada-por-el-congreso-y-aun-podemos-frenarla

http://enfoquederecho.com/por-la-ley-no-se-llora-uno-la-remplaza-capitulo-7-proceso-y-tecnologias-de-la-informacion-y-comunicacion/

[3] Las Directivas son de obligatoria transposición (adaptación) a los cuerpos legislativos de cada Estado miembro de la Unión Europea. El alcance y contenido de la segunda Directiva 2002/58/CE no tiene correspondencia aplicable en la legislación peruana a la privacidad de los datos personales y las comunicaciones electrónicas. 

[4] El sistema de posicionamiento global (GPS) permite determinar en todo el mundo la posición de una persona u  objeto con una precisión de hasta algunos centímetros. El sistema GPS está constituido por la conjunción de varios satélites y utiliza la técnica de la trilateración. Cuando se desea determinar la posición de una persona u objeto, el receptor que se utiliza para ello localiza automáticamente como mínimo cuatro satélites de la red, de los que recibe unas señales indicando la identificación y la hora del reloj de cada uno de ellos. En base a estas señales, el aparato sincroniza el reloj del GPS y calcula el tiempo que tardan en llegar las señales al equipo, midiendo de tal modo la distancia al satélite mediante el método de trilateración inversa, basado en la determinacion de la distancia de cada satélite respecto al punto de medición. Conocidas las distancias, se determina fácilmente la propia posición relativa respecto a los satélites. Conociendo además las coordenadas o posición de cada uno de ellos por la señal que emiten, se obtiene la posición absoluta o coordenadas reales del punto de medición. También se consigue una exactitud extrema en el reloj del GPS, similar a la de los relojes atómicos que llevan a bordo cada uno de los satélites. Fuente: https://es.wikipedia.org/wiki/Sistema_de_posicionamiento_global

[5] El sistema global para las comunicaciones móviles (Del inglés Global System for Mobile communications, GSM, es un sistema estándar  de telefonía móvil digital. Un cliente GSM puede conectarse a través de su teléfono con su computador y enviar y recibir mensajes por correo electrónico, faxes, navegar por Internet, acceder con seguridad a la red informática de una compañía (red local/Intranet), así como utilizar otras funciones digitales de transmisión de datos, incluyendo el servicio de mensajes cortos (SMS) o mensajes de texto.

El sistema GSM se considera, por su velocidad de transmisión y otras características, un estándar de segunda generación (2G). Su extensión a 3G se denomina UMTS y difiere en su mayor velocidad de transmisión, el uso de una arquitectura de red ligeramente distinta y sobre todo en el empleo de diferentes protocolos de radio (W-CDMA).

http://es.wikipedia.org/wiki/Sistema_global_para_las_comunicaciones_m%C3%B3viles

[6] El crecimiento de Internet es un proceso en curso: hace sólo veinticinco años conectaba alrededor de un millar de ordenadores y, desde entonces, ha crecido hasta enlazar a miles de millones de personas a través de ordenadores y dispositivos móviles. Uno de los pasos más importantes en este avance será la evolución progresiva de una red de ordenadores interconectados a una red de objetos interconectados: desde libros hasta automóviles, desde aparatos electrodomésticos hasta alimentos, creándose así una «Internet de los objetos» Véase el informe de 2005 de la Unión Internacional para las Telecomunicaciones, UIT www.itu.int/dms_pub/itu-s/opb/pol/S-POL-IR.IT-2005-SUM-PDF-E.pdf o el informe del ISTAG ftp://ftp.cordis.europa.eu/pub/ist/docs/istagscenarios2010.pdf.

Véase igualmente dos otros artículos vinculados a los datos personales y la geolocalización:

http://derecho-ntic.blogspot.com/2014/02/datos-personales-metadatos.html

http://derecho-ntic.blogspot.fr/2012/02/objetos-nomadas-ubicuidad-y-datos.html

[7] Aplicable al Decreto Legislativo N° 1182.

[8] La traducción es del autor. Véase el texto completo en: http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/024000100.pdf

[9] Por ejemplo, la ley de 1978 Informática y Libertades de Francia:

Artículo 25 I. – Con excepción de los mencionados en los artículos 26 (tratamientos Estado seguridad e infracciones penales) y 27 (tratamientos públicos NIR – biometría Estado – censo – tele servicios), se realizarán los siguientes tratamientos tras la autorización de la Comisión Nacional de Informática y Libertades:

(…)

5° Los tratamientos automatizados cuyo objeto sea: - la interconexión de ficheros dependientes de una o varias personas jurídicas que gestionen un servicio público y cuyas finalidades respondan a intereses públicos diferentes; - la interconexión de ficheros dependientes de otras personas y cuyas finalidades principales sean diferentes.

[10] Grupo de trabajo sobre protección de datos del Artículo 29. Documento de trabajo sobre la administración en línea http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/e-government_es.pdf

[11] Artículo 6 Consentimiento del afectado

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[12] Artículo 21. Comunicación de datos entre Administraciones públicas

1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

[13] Sobre ello, las referencias al Informe del Gobierno Británico «Privacy and data sharing: theway forward for public services», recogido por en el Documento de Trabajo del Grupo del Artículo 29 ya citado, donde se señala que «las interconexiones no son indispensables para mejorar los servicios de la administración».

[14] El Defensor del Pueblo (art. 162 CE; art. 32 LOTC; arts. 5.4 y 29 de la Ley Orgánica 3/1981, de 6 de abril, del Defensor del Pueblo), interpuso recurso de inconstitucionalidad contra incisos de los arts. 21.1 ("Comunicación de datos entre Administraciones Públicas") y 24.1 y 2 ("Otras excepciones a los derechos de los afectados") de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) por vulneración de los arts. 18.1 y 4 y 53.1 CE. Ver sentencia:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/sentencias/tribunal_constitucional/common/pdfs/Sentencia292.pdf

[15] El documento de trabajo del Grupo del Artículo 29 también analiza la posibilidad de que los procedimientos administrativos en línea se encarguen a empresas privadas, una cuestión en la que no se obtuvo la misma respuesta en los diferentes países de la Unión.

[16]  El documento del Grupo del Artículo 29 ya citado señala que la mayor parte de las delegaciones indican que en sus respectivos países está o estaría permitida la participación de operadores privados, «proveedores de servicios de certificación», en el marco de la aplicación de los mecanismos de firma electrónica en ciertos procedimientos administrativos en línea. En estos casos, el estatuto del proveedor de servicios de certificación está dotado de un marco jurídico (por ejemplo, condición de acuerdo). Estas cuestiones se resolverían con frecuencia en el momento de la transposición de la Directiva sobre la firma electrónica al derecho nacional. En los casos restantes es imposible recurrir a proveedores externos privados, pues este papel está reservado al Estado (Alemania, España). En Francia, la cuestión funciona por defecto: hasta ahora, los operadores externos privados sólo intervienen en la certificación de la declaración del Impuesto al Valor Agregado, IVA en línea. En todos los casos restantes, el Estado actúa como autoridad certificadora.