[Visto: 2655 veces]

Vacíos y deficiencias de la Ley de Protección de Datos Personales.

Análisis Resolución Directoral N° 0742014-JUS/DGPDP.

1.    Identificación del problema del caso y criterio jurisprudencial:

De la lectura de la Resolución Directoral N° 0742014-JUS/DGPDP se advierte que el objeto de controversia consistió en determinar si es que la publicación en el sitio web http://www.datosperu.org/ de la Resolución Ministerial N° 0446-2002-IN/PNP en la que se identifican datos personales del reclamante vulnera el derecho fundamental a la protección de datos personales previsto en el numeral 6 del artículo 2° de la Constitución Política del Perú.

Sobre el particular, el criterio jurisprudencial establecido por la Autoridad Nacional de Protección de Datos Personales (en adelante la APDP) en la resolución objeto de comentario fue el siguiente:

–    La APDP es competente respecto al tratamiento de datos realizado por el sitio web “http://www.datosperu.org/” por cuanto dicha empresa consignó en su cuenta de Facebook una dirección ubicada dentro del ámbito territorial peruano.
–    La legalidad del debido procedimiento se legitima con la notificación del inicio del procedimiento mediante publicación en diario oficial El Peruano ante el retorno de las notificaciones realizadas a la dirección indicada en el sitio web y por no contar con domicilio conocido en el territorio peruano .
–    En la medida que los datos contenidos en la resolución publicada en las Normas Legales del diario oficial El Peruano contiene información que identifica y hace identificable al reclamante dicho acto vulnera el derecho fundamental a la protección de datos personales previsto en el numeral 6 del artículo 2° de la Constitución Política del Perú, e.
–    La APDP considera que constituye un tratamiento total o parcial de datos personales la conducta de identificar a una persona por diversos tipos de información relativa como por la publicación de una resolución administrativa cuya difusión en el sitio web implicó publicar dicha página en un servidor.
–    La información publicada no constituye información general de hechos públicamente relevantes y de “interés general” por cuanto el afectado no desarrolla actividad pública por lo que la publicación de la referida resolución requería del consentimiento expreso del reclamante.
–    La publicación y difusión realizada de la resolución cuestionada en el Diario El Peruano por mandato legal, no implica una vulneración del derecho a la protección de datos personales, toda vez que dicho diario oficial no puso a disposición de los usuarios la sección de Normas Legales mediante la indexación en los buscadores de internet como si lo hizo el reclamado.
–    La falta de anonimización de la jurisprudencia puesta a disposición de los usuarios del internet en el sitio web “http://www.datosperu.org/” constituye una vulneración del derecho fundamental a la protección de datos personales.
–    Se vulnera el principio del consentimiento cuando se acredita la inexistencia de una relación contractual entre el titular de los datos personales y el reclamado, sin embargo, aun cuando existiese dicha relación contractual deberá probarse que el tratamiento de la información de datos personales es necesario para la ejecución del contrato.
–    Se indica que toda vez que la resolución cuya información fue objeto de tratamiento había sido dejada sin efecto, su contenido dejó de ser exacto y actualizado, pues en virtud del principio de calidad el tratamiento de datos personales deben ser veraces, exactos y, en la medida de lo posible actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Asimismo agrega que el responsable de datos personales debe encontrarse en la capacidad de detectar que existen datos personales anacrónicos o incorrectos y actualizarlos de oficio en cuanto tenga conocimiento de la inexactitud y siempre que posea los documentos necesarios que justifiquen la actualización.
–    La APDP resume los actos violatorios en tres hechos probados: (i) los datos personales del reclamante que figuran en el texto de la resolución publicada: no fueron anonimizados antes de ser puestos a disposición de los usuarios del sitio web. (iii) los datos personales fueron indexados por el buscador Google y otros buscadores en fecha no determinada y (iii) la resolución que contiene datos personales de forma pública se encuentra accesibles hasta la fecha pese que la misma fue dejada sin efecto.
–    Respecto a la vulneración del derecho de información del titular de los datos personales señala que en el aviso legal “http://www.datosperu.org/aviso-legal no ha cumplido con las políticas de privacidad y confidencialidad de la información del servicio en el sitio web, toda vez que en dicho sitio web se proporcionó información inexacta e incierta por cuanto señalaron como responsable del banco de datos a una entidad inexistente, asimismo señalaron una dirección de correo inválida para ejercer los derechos ARCO (acceso, rectificación, cancelación u oposición.
–    Estando a los hechos expuestos la APDP calificó como grave la infracción cometida por el sitio web “http://datosperu.org” sancionándola con 15 Unidades Impositivas Tributarias por vulnerar los principios de consentimiento, proporcionalidad y calidad, 15 Unidades Impositivas Tributarias por contradecir los derechos ARCO y ordenó al sitio web al cese definitivo del tratamiento inadecuado de los datos personales del reclamante para lo cual ordenó la aplicación: (i) Procedimiento de anonimización, (ii) Bloquee y elimine la publicación de la resolución ministerial y (iii) Adopte políticas de privacidad y confidencialidad válidas y efectivas a las condiciones del servicio en su sitio web.

2.     Comentarios respecto a la jurisprudencia.
La jurisprudencia en comentario tiene un contenido didáctico respecto a la interpretación de los principios rectores del respeto a la protección de datos personales, sin embargo observamos falencias procedimentales en el trámite del procedimiento de reclamación, lo cual ante una eventual impugnación de la misma podría conllevar a la nulidad de la resolución según lo previsto en el numeral 10.1 del artículo 10 de la Ley N° 27444, Ley del Procedimiento Administrativo General (en adelante la LPAG). En atención a lo expuesto, en las siguientes líneas comentaremos: (i) falencias procedimentales de la actuación de la APDP y (ii) vacíos normativos de la Ley N° 29733, Ley de Protección de Datos Personales.

2.1 Falencias en el debido procedimiento administrativo

Respecto a la “notificación debida” como manifestación del respeto al debido procedimiento administrativo
.
De la resolución se aprecia que la APDP inicialmente notificó de forma electrónica el traslado de la reclamación y sus anexos para que el reclamado presente su contestación. Al respecto debemos indicar que la autoridad vulneró inicialmente el debido procedimiento administrativo por cuanto de conformidad al artículo 20.1.2 de la Ley 27444, Ley del Procedimiento Administrativo General la notificación mediante correo electrónico u otro medio que permita comprobar de forma fehaciente su acuse de recibo siempre que el administrado haya solicitado el empleo de dicho medio expresamente.
Ahora bien, la APDP también realizó notificación de la reclamación a la dirección consignada por “datosperu.org” en su página de Facebook, sobre el particular, surge las siguientes interrogante ¿es válida la notificación realizada por la APDP a la “dirección” consignada en la cuenta de redes sociales?, ¿cuál es el concepto de domicilio que se aplica a las empresas que trabajan bancos de datos por internet?,.¿qué sucedería en caso la empresa responsable de la vulneración del derecho fundamental a la protección de datos personales no hubiese consignado una dirección física en el Perú?. A nuestro entender “domicilio” no es lo mismo que “dirección” puesto que el primero es “el asiento jurídico de la persona, su sede legal, el territorio donde se le encuentra para imputarle posiciones jurídicas, para atribuirle derechos o deberes”  y el segundo es el signo a través del cual se materializa el domicilio.
Por lo expuesto, consideramos que la APDP no aplicó correctamente las reglas de notificación previstas en la LPAG, toda vez que la empresa perudatos.org contaba con domicilio desconocido y no autorizó expresamente la notificación mediante correo electrónico, por lo que reclamación y sus anexos debió ser notificada por publicación según lo previsto en el numeral 23.1.2 del artículo 23° de la LPAG, y no dilatar el procedimiento desde el 19 de junio al 29 agosto del 2014 con notificaciones indebidas a la empresa reclamada.

Respecto a la competencia de la APDP

–    A fin de establecer su competencia en la materia de controversia, la APDP realizó la verificación de la ubicación del titular de banco de datos y de los responsables del tratamiento de la información, habiendo verificado que el tratamiento de datos personales en el caso materia de autos se efectuó desde un establecimiento fuera del Perú, el responsable no se ubicaba dentro del territorio peruano y no se pudo determinar si es el tratamiento de datos se lleva a cabo utilizando medios peruanos, la dirección física de la referida web es dinámica.
–    Ahora bien, de lo expuesto se denota que la APDP identificó el vacío normativo existente; sin embargo, de forma arbitraria estableció su competencia tomando como lugar físico de la empresa reclamada  la “dirección” consignada en la página de Facebook de la empresa perudatos.org. que como ya comentamos en párrafos anteriores dirección no es lo mismo que domicilio. En ese sentido, consideramos que en interpretación estricta de la ley la APDP no era competente para conocer el procedimiento de reclamación por vulneración del derecho fundamental de datos personales, por cuanto no se cumplía con los presupuestos de la ley para establecer la competencia de la citada autoridad.
De lo expuesto, ante la falta de regulación respecto al ámbito de aplicación en los supuestos en los que no existe domicilio conocido de la empresa reclamada, conlleva a la falta de competencia del órgano resolutor, lo cual implica la nulidad de la resolución expedida.

2.2    Vacíos normativos:
Del análisis del caso hemos identificado que la Ley de Protección de Datos Personales y su reglamento cuenta con vacíos normativos que la especialidad de las modalidades y medios que son utilizados para vulnerar el derecho fundamental de protección de datos a nuestro entender requiere de normas especiales puesto que el marco regulatorio general de la Ley N° 27444, Ley del Procedimiento Administrativo General, (LPAG) es insuficiente y su aplicación conllevaría a la vulneración del derecho fundamental al debido procedimiento administrativo como analizamos anteriormente.

Así pues hemos identificado los siguientes vacíos normativos:

a.    Ausencia de regulación del procedimiento de fiscalización realizado por la APDP
A efectos de resolver el reclamo presentado por el reclamante la APDP ordenó a la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales (DSC) la realización realizó un procedimiento de fiscalización para el esclarecimiento de los hechos.
Sobre el particular, consideramos necesario que el procedimiento de fiscalización realizado por la APDP debe ser regulado en la Ley de Protección de Datos Personales, estableciendo facultades y límites a la facultad de la APDP.

–    Inexistencia  de normas especiales de notificación a empresas con bancos de datos con domicilio dinámico
–    Las empresas titulares de bancos de datos y/o empresas responsables del tratamiento de la información disponible en el internet, por lo general son empresas que actúan sin identificar una razón social y domicilio, mucho menos estas se inscriben o registran ante las autoridades peruanas; en ese sentido, consideramos que la Ley de Protección de Datos Personales debe establecer mediante norma modificatoria reglas especiales de notificación.
–    Así pues, es necesaria la implementación de la notificación mediante correo electrónico como una modalidad de notificación a las empresas titulares de bancos de datos y/o tratamiento de información que no posean domicilio físico en el Perú, asimismo ante la imposibilidad de la notificación por correo electrónico se le debe prever la notificación a la empresa reclamada mediante la página web de la APDP como la contemplada en los procedimientos administrativos tributarios, en la que el legislador a premunido de modalidades de notificación específicas a las notificaciones realizadas por la SUNAT.


–    Imprecisión respecto al ámbito de aplicación de la Ley de Protección de Datos Personales cuando no existe persona jurídica identificada como titular del banco de datos y/o responsable del tratamiento de información

–    El artículo 5° del Reglamento  de la Ley N° 297333, Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS, establece el ámbito de aplicación de la ley y su reglamento; sin embargo de la revisión de la misma se advierte que la citada norma ha vinculado el ámbito de aplicación de la norma a dos supuestos: (i) la locación domiciliaria en el Perú del titular del banco de datos y/o del responsable del tratamiento de la información y (ii) la locación de los medios situados en el Perú.
Como se indicó en párrafos anteriores es frecuente que la vulneración del derecho a los datos personales sea realizada por empresas que no cuentan con un domicilio físico en el Perú, en ese sentido es necesario que se establezcan reglas de presunción de domicilio y territorialidad en virtud de la utilización de la fuente de información, esto es, que se contemple dentro del ámbito de aplicación de la Ley de Protección de Datos a aquellos supuestos en los que las empresas titulares de bancos de datos y/o de tratamiento de información utilicen información de fuente peruana, criterio similar al utilizado en la legislación tributaria para gravar rentas de sujetos no domiciliadas.

Establecimiento de reglas de responsabilidad solidaria de buscadores de información virtuales

Por último, de la revisión de la Ley de Protección de Datos Personales no se advierte el establecimiento de normas de responsabilidad solidaria que permitan que las sanciones sean efectivas.

En esa línea, consideramos pertinente que el legislador implemente responsabilidad solidaria de los buscadores virtuales por dos motivos: (i) Los buscadores virtuales administran y ordenan información que puede contener datos personales sin consentimiento y (ii) Los buscadores virtuales (Google, entre otros) son empresas formales con domicilio conocido en el exterior pero que utilizan información peruana para recibir ganancias por sus servicios.

Del análisis antes efectuado, el legislador tiene aún mucho que regular para conceder una tutela efectiva al derecho fundamental de protección de datos y la Autoridad de Protección de Datos Personales tiene mucho que aprender respecto a normas procedimentales administrativas que validen el ejercicio de su actuación.

Puntuación: 0 / Votos: 0