COMENTARIOS AL PROYECTO DE LEY DE PROTECCION DE DATOS PERSONALES

Renunciamos de modo expreso a los derechos patrimoniales que pudieran derivarse del presente trabajo en virtud del derecho que nos asiste para hacerlo

La posibilidad que el Proyecto de Ley de Protección de Datos Personales entre en vigencia en nuestro país determina que realicemos algunos comentarios respecto del mismo; es así, que el primero de ellos está asociado a la pertinencia de la norma, el segundo a los contenidos conceptuales en ella desarrollados y el tercero a la organización sistémica de la misma.

En ese orden de ideas, corresponde determinar si es necesario contar con una norma que regule de modo específico estos aspectos. La experiencia comparativa internacional nos remite a dos sistemas que en apariencia son opuestos pero que en el fondo parten de una misma premisa la autodeterminación informativa y cuyo sustento se encuentra en los derechos fundamentales de las personas. En efecto, la forma de regular estas hipótesis de incidencia fluctúa entre la intervención normativa a la auto regulación. Sin embargo, en ninguna de estas opciones se descuida o se desprotege – por resultar jurídicamente imposible – la naturaleza esencial del derecho fundamental al manejo de la información que le corresponde a cada individuo.

Experiencias normativas desarrolladas en el sistema europeo toman como principal criterio base la protección de la persona y como consecuencia de ello la protección del dato personal. De este modo, la protección encuentra lógica pues parte de una perspectiva consistente en precisar el objeto de derecho y consecuentemente el objeto de protección. Al establecerse de modo correcto que el objeto de derecho es la persona y no el dato personal queda establecido de modo indubitable que la protección alcanza niveles que van más allá de la simple regulación de los bancos de datos personales pues pretender que este sea el objeto de la norma es desde toda perspectiva impertinente, equivocado y carente de fundamentos jurídicos sólidos.

De otro lado, el sistema que se utiliza en Estados Unidos está asociado a la auto regulación del tema, que a pesar de tener normas que pretenden regular aspectos básicos – léase la Privay Act de los años 70 – se considera que el asunto va de la mano con la libertad y el correcto flujo de datos. En ese sentido, el sistema americano no se aleja del principio de la autodeterminación informativa pues se reconoce derechos fundamentales de la persona y no derecho sobre los datos personales que son una consecuencia de los primeros.

Habiendo expuesto de modo ilustrativo las dos principales tendencias a nivel internacional, corresponde realizar un análisis situacional del manejo de los datos personales en el Perú. Es así, que identificamos que existen diversas normas sectoriales que si bien no son completas, ni alcanzan a todas las hipótesis de incidencia respecto del manejo de este tema sino que regulan parcialmente el manejo de algunos datos personales. Estas normas no tienen por finalidad específica regular la estructura del problema que consiste en la protección contra la organización indebida de datos personales de modo tal que puedan ser útiles para su explotación; y en consecuencia, al ser insuficientes – las normas vigentes – en su contenido para el fin que se busca resulta apropiada la búsqueda de una solución integral del problema que se encuentre adecuadamente asociado a la realidad existente en el país.

Por estas razones consideramos pertinente la elaboración de una norma de protección de datos personales. Sin embargo, eso no significa que avalemos el proyecto de norma pues encontramos que presenta serias deficiencias conceptuales y de esquema que necesariamente deben superarse.
En ese sentido, el Proyecto de Ley de Datos personales comienza con un error conceptual injustificable en la aplicación de la norma constitucional que pretende darle sustento al mismo. En efecto el artículo 2 inciso 6 de la Constitución Política del Perú no se encuentra referido al tema de datos personales sino a temas de intimidad personal y familiar que no es equivalente a datos personales, son asuntos manifiestamente diferentes. En este punto concuerdo con mi amigo Leysser León en que la norma constitucional no es la que corresponde.

Adicionalmente, el problema de los datos personales es enfocado de una manera equivocada desde su definición. Nos permitimos realizar algunas precisiones que permitirán entender los errores del proyecto. El dato aisladamente considerado, como elemento puro y desprovisto de contexto carece de significado y es de poca utilidad independientemente de los niveles de protección que le corresponde; el problema surge y se identifica cuando a través de la sistematización de datos personales se consigue organizarlos de modo que se convierta en un banco de información relevante y que en consecuencia adquiere valor en si mismo.

En ese orden de ideas, resulta absurda la definición que contiene el proyecto de Ley de Datos Personales cuando en el artículo 2º establece lo siguiente:

“Artículo 2º.- Definiciones
Para todos los efectos de la presente Ley, se entenderá por:
2.4 Datos personales.- Toda información sobre una persona natural que le identifica o la hace identificable a través de medios que puedan ser razonablemente utilizados.”
De la simple lectura del artículo precedentemente citado, encontramos el segundo error que termina de descalificar la norma en si misma. No se puede pretender regular normativamente una situación de hecho en la que los elementos conceptuales son errados pues no podría aplicarse correctamente la norma.

De este modo, teniendo la base constitucional equivocada y la definición de dato personal errada es sencillo presumir que la norma no puede ser correcta. A estos efectos nos permitimos indicar el error de la definición, que debe ser corregido inmediatamente, se menciona en el proyecto, que el dato identifica a la persona situación que no es la correcta; el dato no identifica y tampoco es información en estricto, muy por el contrario el dato personal es aquel que luego de ser debidamente organizado permite individualizar a la persona a través de la construcción de un perfil que puede tener diversas manifestaciones dependiendo de la necesidad del que las organiza o de quien los encarga. En consecuencia la norma lo que debe regular es la construcción de individualidades y las diversas formas en la que puede ser organizada.

Habiendo mencionado que sólo posee valor la organización del dato, debemos precisar que existen omisiones de definición conceptuales que son necesarias como es la relativa al manejo de datos de carácter público que no dependen de la voluntad del individuo para que sean conocidas. En efecto, se debió definir en qué consiste el manejo de esta información y como la vamos generando diariamente, un ejemplo de ello está asociado a determinada información patrimonial que es de carácter público como propiedad la vehicular o inmobiliaria.

De otro lado, encontramos otra definición que merece nuestra especial atención y es la que está referida a los datos sensibles.

“Artículo 2º.- Definiciones
Para todos los efectos de la presente Ley, se entenderá por:
2.5 Datos sensibles.- Datos sensibles.- Datos personales, constituidos por los datos biométricos, datos referidos al origen racial y étnico; opiniones o convicciones políticas, religiosas, filosóficas o morales; hábitos personales; afiliación sindical; e información relacionada a la salud o a la vida sexual”

Si bien es cierto, es aceptado que en la doctrina se considere al dato sensible como parte de la clasificación de los datos personales, no es menos cierto que esta se encuentra asociada a un criterio que va más allá y que para ser entendida en su total dimensión incluye la definición de dato prohibido, dato sensible y dato no sensible; que para ser puristas se debieron incluir y definir en la norma si su intensión era adoptar esta clasificación. Con una definición parcial se retira de contexto a la misma y en consecuencia la definición no es clara y demuestra una carencia conceptual que debe corregirse.

Adicionalmente a esto se debe precisar que era necesario introducir en el proyecto de ley variables conceptuales ineludibles como lo son la privacidad e intimidad, que no son abordadas y que ayudarían de modo sencillo a comprender el problema de la administración de las bases de datos personales. Esta ausencia genera un vacio que debe ser inmediatamente solucionado.
Ante la ausencia de definiciones relativas a la privacidad e intimidad enfrentamos el problema de asociar al dato como un elemento del comercio que podría generar conflictos patrimoniales derivados de un hecho diverso al de protección de la persona.

Otro tema no menos preocupante corresponde al Título III referido al Tratamiento de Datos Personales, que en esencia demuestra una total y vergonzosa técnica legislativa al incorporar normas reglamentarias dentro de una ley; sin embargo, y más allá del error, apreciamos diversos hechos que se encuentra inadecuadamente regulados como los datos personales de los niños y adolescentes mencionado en el artículo 13º:

“Artículo 13º.- Alcances del tratamiento
13.3 Mediante reglamento se dictarán medidas especiales para el tratamiento de los datos personales de los niños y de los adolescentes, así como para la protección y garantía de sus derechos. Para el ejercicio de los derechos que esta Ley reconoce, los niños y adolescentes actuaran a través de sus representantes legales, pudiendo el reglamento determinar las excepciones aplicables, de ser el caso, teniendo en cuenta para ello el interés superior del niño y del adolescente.”

Debido a la importancia, relevancia y delicado del tema resulta equivocado que un tema de primer orden no se le imponga un límite en la propia Ley debidamente concordado con las normas contenidas en el Código del Niño y Adolescentes y no dejar ligeramente el asunto a un reglamento en el que no corresponde ser definido.
De otro lado, el proyecto reconoce que las bases de datos personales pueden ser comercializadas, con lo cual la organización de los datos personales se incorpora inmediatamente al comercio, se le atribuye un contenido patrimonial y finalmente se designa a un beneficiario económico por organizarlas. Esto es consecuencia de una equivocada interpretación constitucional.

“Artículo 13º.- Alcances del tratamiento
13.9 La comercialización de datos personales contenidos o destinados a ser contenidos en banco de datos personales se sujeta a lo dispuesto en el reglamento de la Ley.”

En este punto se debe tener presente que el dato personal en sí mismo podría carecer de valor pero su organización sin duda determina que de ellos se puede obtener valores demasiado altos y eventualmente perjudiciales para el titular del dato. Mientras el dato organizado integre un perfil más íntimo de la persona o grupo de personas será más valioso y deseable como bien objeto de comercialización. En esencia el tema no está asociado al simple listado de números telefónicos o correos electrónicos, para ser honesto poco valiosos, sino en la sumatoria de datos personales debidamente organizados.

Los datos personales debidamente organizados se convierten en información y por ello finalmente estamos haciendo referencia a un control de información que se permite que eventualmente se encuentre en la posibilidad de ser comercializada.
Para ello se tendría que informar que la obtención de información tiene dentro de sus fines la forma en la que será organizada y finalmente, además, informar ineludiblemente que su destino es ser comercializada.

La forma de organizar la información se han convertido en altamente sofisticadas que determinan que todos los datos personales sean relevantes y su aprovechamiento está directamente asociado con la habilidad para organizarlos.

En ese sentido, el futuro reglamento debería tener especial cuidado con la forma en la que se autorizará esta comercialización pues sin duda los bancos de datos personales poseen un valor muy elevado mientras se encuentran en el dominio del titular de los mismos sin embargo una vez que han salido de su esfera para ser comercializados existe demasiada facilidad técnica para que su valor se reduzca y circule casi libremente por diversos medios.

Finalmente realizar un breve comentario a la Sentencia del Tribunal Constitucional recaída en el Expediente Nº 00242-2011-PHD/TC caso Honores Vs Essalud respecto a un procedimiento de Habeas Data; la señora Honores desea que se elimine información respecto a ella contenida en el banco de datos de Essalud. En este procedimiento se recoge el principio de autodeterminación informativa desarrollado en STC 1797-2002-HD/TC y hace una precisión importante frente a los datos personales a los que se puede acceder por medios públicos como la RENIEC en el que figura el estado civil, fecha de nacimiento, número de DNI y que ello no vulnera su intimidad personal o familiar en consecuencia declara INFUNDADA la acción de Habeas Data.

En la sentencia precedentemente descrita se realiza una precisión importante asociada al manejo de información que debe entenderse, de acuerdo al proyecto bajo comentario, como no sensible pues el acceso a ella no depende de la voluntad de la persona y ello determina que no exista un dominio sobre la misma a pesar que es un dato personal. El tema que se desprende de esta sentencia es que el principio de autodeterminación informativa está claro desde el año 2002 en el Perú y el proyecto de norma no recoge de modo eficiente principios ya desarrollados ampliamente por el Tribunal Constitucional y además tampoco menciona temas sensibles como la pertinencia de esta norma en relación al Habeas Data y como se deben relacionar y complementar y menos se preocupa por definir competencias precisas para su Autoridad Nacional de Protección de Datos Personales.
Menudo trabajo que espera para mejorar la norma.

Puntuación: 4.80 / Votos: 5

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *