Profesor de Derecho Constitucional en la Pontificia Universidad Católica del Perú y la Universidad Nacional Mayor de San Marcos
El 3 de julio del 2011 fue publicada en el diario oficial El Peruano una de las leyes de desarrollo constitucional que se encontraba pendiente por más de quince años. Nos referimos a la Ley Nº 29733, Ley de Protección de Datos Personales (en adelante la Ley), que desarrolla el contenido del derecho fundamental reconocido en el artículo 2º inciso 6º de la Constitución de 1993, así como establece medidas orientadas a su respeto y garantía.
La norma es extensa, algo confusa en su redacción y con un orden en el desarrollo de los temas que puede perjudicar su adecuada comprensión por parte de la ciudadanía en general, que viene a ser su principal destinatario. Por ello, en el presente blog deseamos explicar los aspectos más importantes de esta Ley, siguiendo el orden empleado cuando se estudian los derechos fundamentales reconocidos en la Constitución.
I. ASPECTOS CENTRALES DE LA LEY
1.- Contenido del derecho a la protección de datos personales
La Constitución de 1993 contiene una redacción deficiente sobre los alcances de este derecho, que se limita a reconocer solo la facultad de toda persona a evitar que se suministre a terceros información que pueda afectar su intimidad personal o familiar. En este sentido, el artículo 2º inciso 6º del texto constitucional señala que toda persona tiene derecho:
Una mejor precisión sobre el contenido del derecho se encuentra en el Código Procesal Constitucional (artículo 61º inciso 2º) y la jurisprudencia del Tribunal Constitucional. En el caso del Código se señala que el proceso de hábeas data protege el derecho de toda persona a:
“Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros. Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales”.
En la nueva Ley, entre los artículos 18º a 23º, se precisan con mayor detalle los derechos del titular de datos personales, como el de información sobre el tratamiento que se dará a los datos, de acceso a las bases respectivas, de actualización, inclusión, rectificación y supresión de datos, a impedir su suministro a terceros y de oposición. Sin embargo, llama la atención que respecto de la mayoría de estos derechos se haya previsto (en el artículo 26º) el abono de una contraprestación, cuando en experiencias comparadas, al menos en el caso del acceso, rectificación, cancelación y oposición, no se exige pago alguno. Se trata de una medida que podría desincentivar el ejercicio de alguno de estos derechos.
2.- Sujetos pasivos del derecho a la protección de datos personales
Nos referimos a los sujetos que se encuentran obligados a realizar alguna actividad concreta a favor de este derecho. En este sentido, la Ley dispone que los sujetos pasivos del mismo son los titulares y encargados de bancos de datos personales de administración pública y de administración privada (art. 3), exceptuándose los bancos de datos privados creados para uso privado y los bancos de datos de la administración pública destinados al cumplimiento de las competencias de las entidades públicas o para la defensa nacional, la seguridad pública y la investigación penal.
Las obligaciones específicas para los titulares y responsables de los bancos de datos se precisan en el artículo 28º de la Ley. Las infracciones respectivas por incumplir tales obligaciones, así como las sanciones aplicables, se encuentran previstas en el Título VII (artículos 37º al 40º).
3.- Garantías específicas del derecho
La garantía más importante en materia de datos personales está referida al tema del consentimiento para el tratamiento de los mismos. En este sentido, el artículo 13º de la Ley señala que los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. Precisa asimismo que el consentimiento debe ser previo, informado, expreso e inequívoco. Además, en su artículo 14º establece aquellos casos en donde no resulta necesario el consentimiento.
La norma también ha previsto (artículo 17º) el deber de confidencialidad respecto a los datos personales por parte de los titulares de los bancos de datos, los responsables del mismo y del personal que interviene en cualquier etapa de su tratamiento.
4.- Límites al ejercicio del derecho
El derecho a la protección de datos no es absoluto y admite restricciones. En este sentido, el artículo 27º de la Ley señala que el ejercicio de las facultades de acceso, supresión y oposición pueden ser limitados a fin de proteger derechos e intereses de terceros, o cuando se puedan ver obstaculizadas actuaciones judiciales o administrativas en curso, vinculadas al cumplimiento de obligaciones tributarias o previsionales, investigaciones penales, desarrollo de actividades de control de la salud y del medio ambiente, verificación de infracciones administrativas u otros supuestos que establezca la ley. El mencionado artículo señala que estas limitaciones operan respecto a las bases de datos de la administración pública.
5.- Protección del derecho (vía administrativa y vía judicial)
El artículo 24º de la Ley reconoce la protección del derecho a través de una vía administrativa, que se sigue ante la Autoridad Nacional de Protección de Datos Personales conforme al procedimiento previsto en los artículos 219º y siguientes de la Ley del Procedimiento Administrativo General (Ley Nº 27444). Contra lo resuelto por la Autoridad Nacional cabe iniciar un proceso contencioso-administrativo.
A la vez, la Ley reconoce la posibilidad de acudir de forma directa al proceso constitucional de hábeas data. De acuerdo con la Sexta Disposición Complementaria Final, el procedimiento administrativo previsto en el citado artículo 24º no debe ser entendido como una vía previa para acudir al hábeas data.
Conforme se aplique la norma se podrá evaluar cuál de estas alternativas será la más empleada por las personas que consideren afectados sus derechos.
II. VIGENCIA DE LA LEY
Sólo algunas disposiciones de la Ley han entrado en vigencia, como las referidas al procedimiento de implementación de la norma y el Título II, que reconoce la garantía del consentimiento del titular para el tratamiento de sus datos personales, las excepciones a este consentimiento, el deber de confidencialidad por parte de quienes son responsables del tratamiento de datos, entre otros aspectos.
En consecuencia, el resto de disposiciones sólo entrará en vigencia a partir de la expedición del Reglamento respectivo, que deberá ser emitido en un plazo no mayor de 120 días hábiles contados a partir de la instalación de una Comisión Multisectorial responsable de su elaboración, que a su vez debe ser instalada en un plazo máximo de 15 días a partir del día siguiente de la publicación de la Ley.
Sin embargo, a pesar que la Ley no señala la vigencia de los artículos referidos al contenido del derecho, ello no impide su ejercicio, así como la respectiva protección judicial, en tanto los derechos fundamentales no están condicionados –en cuanto a dicho ejercicio y protección- a la existencia o vigencia de una ley, como se acredita con la jurisprudencia constitucional emitida hasta el momento por el Tribunal Constitucional.
III. REFLEXIONES FINALES
La aprobación de la Ley de Protección de Datos Personales constituye una medida acertada por parte del actual Congreso de la República, cuyo período legislativo está a punto de culminar. Corresponderá al próximo Congreso realizar las modificaciones que sean necesarias, conforme se vaya aplicando la norma. Además, será de su competencia aprobar las modificaciones legales que sean necesarias para adecuar la legislación existente al texto de la nueva Ley aprobada, conforme se dispone en su Cuarta Disposición Complementaria.
En el caso del Poder Ejecutivo ocurre algo similar, pues corresponderá al próximo Gobierno, que inicia sus funciones el 28 de julio del 2011, dictar el Reglamento respectivo e implementar el funcionamiento de la Autoridad Nacional de Protección de Datos Personales, cuyas competencias son bastante numerosas (artículo 33º de la Ley) y que deberá tener oficinas en todo el país, a fin de no concentrar en la capital la protección administrativa referida al tratamiento de datos personales.
En cuanto a la jurisprudencia, corresponde al Poder Judicial y al Tribunal Constitucional garantizar el adecuado ejercicio del derecho así como la estricta observancia de todas las obligaciones que la Ley ha previsto para los titulares y responsables de las bases de datos. De modo particular, es probable que el Tribunal tenga que analizar la constitucionalidad de algunas de las normas contenidas en la Ley, como por ejemplo, la referida al abono de una contraprestación para el ejercicio de determinadas facultades que forman parte del contenido del derecho.
Enlaces relacionados:
– Documentos sobre el debate en el Congreso de la República respecto a la ley de datos personales.
– Ejecutivo presenta proyecto de Ley de Protección de Datos Personales.