Existe un género de leyes en Perú que nunca llegan a aprobarse. Entre ellas, junto a la Ley Orgánica de Bases de la Administración Pública o la Ley General del Trabajo, hasta hace unos meses descansaba la Ley de Protección de Datos Personales. El año pasado, sin embargo, saludamos con entusiasmo que por fin haya una voluntad firme desde el Ejecutivo por lograr su aprobación y se lleve la discusión al Congreso. Actualmente, el Proyecto se ha nutrido de algunos comentarios y la Comisión de Justicia y Derechos Humanos del Congreso ha emitido un dictamen favorable y publicado el texto sustitutorio [pdf], que está pendiente de discusión en el Pleno del Congreso.
Qué es y qué no es
No voy a explayarme sobre el contenido y finalidad de este Proyecto de Ley. Basta decir que, en esencia, pretende establecer la obligación legal para todo aquel agente público o privado que trate información personal (números de teléfono, correos electrónicos, entre otros) de informar y transparentar sus prácticas con el mercado. Para mayores señas, sugiero leer los varios artículos de Oscar Montezuma al respecto.
Creo que su promulgación ayudará a ordenar nuestro sistema legislativo sobre el tema y nos pondrá al nivel de nuestros socios comerciales. Actualmente, la preocupación por estos temas es absolutamente formal y no hay mayor conciencia sobre su importancia. De aprobarse, agentes públicos y privados serán más cautelosos con lo que hacen y no hacen con nuestros datos privados y la forma en la que redactan sus contratos. Intenten googlear parte de los Términos de Uso de El Comercio y se darán cuenta de que son las mismas que hay en otros cientos de páginas web. Además, dará un marco legal a una serie de iniciativas de modernización del Estado, interoperabilidad e interacción entre públicos y privados para lograr un mejor servicio al ciudadano.
Pero tampoco es que estemos descubriendo la pólvora. Como sucedió en el caso de la tristemente celebrada Ley Antispam, la promulgación de esta Ley no cambiará nada si no existe la voluntad política y la capacidad institucional de hacerla cumplir. ¿O acaso desde que tenemos una Ley Antispam dejamos de recibir SPAM? De hecho, la única sanción por SPAM impuesta en Perú demoró dos años en tramitarse ante Indecopi solo fue de 5 mil dólares. Con ese precedente, y las herramientas tecnológicas necesarias, hay un gran espacio para el incumplimiento eficiente de la norma.
De la misma forma, esta Ley es y no es lo que dice ser. Para empezar, actualmente ya es posible iniciar un poceso de hábeas data ante cualquier amenaza o violación del derecho a la privacidad de datos personales. Es decir, no viene a defendernos de nada de lo que no podamos defendernos actualmente. El propio Proyecto de Ley lo reconoce y señala que el nuevo procedimiento administrativo ante la Autoridad Nacional de Protección de Datos Personales no constituirá una vía previa. Probablemente, esta Autoridad no será más que una oficina lúgubre dentro del Ministerio de Justicia, sin una partida presupuestal propia ni mayores fondos que las multas que imponga. ¿En esas condiciones hará cumplir la norma?
La polémica con Google
Esta semana, han aparecido en varios medios las declaraciones de Pedro Less, representante de Google en Latinoamérica, manifestando su disconformidad con el Proyecto de Ley. Concretamente, lo que a Less le parece cuestionable es que se requiera del consentimiento previo y expreso por parte de cada persona respecto de las condiciones en que se tratarán sus datos. Cabe señalar que este artículo no ha sido introducido de contrabando, sino que se encuentra desde sus primeras versiones.
Artículo 13.— Alcances
(…)
13.5. Los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.
Esto significa que todo sitio web que intente tratar mis datos personales (que pueden ir desde correos electrónicos hasta información sobre IPs y preferencias) deberá de contar con mi consentimiento expreso. Conforme al Código Civil, donde la ley dice expreso no puede operar un consentimiento tácito. A Google, este asunto le preocupa porque significa que necesaitará de que los usuarios hagan clic en “Aceptar” antes de que ofrezcan sus servicios de búsqueda y eso, obviamente, le quitaría toda la gracia a su servicio.
Pero las cosas no son tan malas como las pintan. Para empezar, la norma solo será aplicable a quienes realicen el tratamiento de datos personales en el territorio nacional. Es decir, ni Facebook, ni Twitter, ni Foursquare, ni ninguna empresa domiciliada legalmente y cuyos servidores están en el extranjero será obligada a cumplirla (a diferencia de la norma europea, que sí amplía su aplicación a otros territorios). En el caso de que algún sitio en Internet trate los datos en Perú, le será de aplicación el artículo 18 del propio Proyecto, que establece una excepción interesante.
Artículo 18.— Derecho de Información
(…)
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesíbles e identificables.
Es decir, el derecho de información del usuario puede verse satisfecho con la publicación y puesta a disposición de Políticas de Privacidad accesibles e identificables en el sitio. Al existir una disposición particular para Internet, creo que se cumple el requisito de contar con una “ley autoritativa al respecto” para exceptuarnos de recabar un consentimiento expreso señalado en el Artículo 13.
En el caso particular de Google, existen dos escenarios. Los usuarios que acceden estando logueados con su cuenta Google y aquellos que acceden libremente. En el caso de los usuarios registrados, esta autorización ya se dio en forma expresa e inequívoca al aceptar las Políticas de Privacidad durante el procedimiento de registro (contrato click). Por otro lado, los usuarios que entran libremente a usar sus servicios tienen a su disposición como uno de los pocos links de la página las Políticas de Privacidad (contrato browse). Esto, en mi interpretación, también significaría cumplir con la norma. Además, según el artículo 14.8 del Proyecto, Google podría optar por anonimizar los datos recopilados de los usuarios no registrados (enmascarar el IP o disociarlo de la fecha, búsqueda, navegador y OS) y, de esa forma, no necesitar de autorización expresa del titular de los datos personales.
Tanto la ley chilena como la argentina exigen un consentimiento expreso, por lo que no veo cuál es la gran preocupación dado que Google ha establecido su operación en ambos países. El problema de permitir que basta con una autorización tácita para el tratamiento de datos personales es la posibilidad de que se cometan abusos. Si actualmente nadie lee las Políticas de Privacidad, peor sería la situación si las empresas ni siquiera están obligadas a publicarlas o informar que se hará el tratamiendo de datos. De la misma forma en que no puede haber una autorización tácita para usar mi propia imagen o voz, no puede existir una autorización tácita general para tratar datos personales. A este respecto, el nivel de protección impuesto por la ley me parece el adecuado con la flexibilidad señalada para sitios web.
Foto: Luca Cerabona (CC BY-NC-ND)
Una visión bastante interesante y que se complementa con dos articulos:
¡El Perú necesita una Ley PDP YA! – Se parte del resguardo a tu derecho de acceder a TU información by @cylucil http://on.fb.me/jNniC7
Proteccion d Datos Personales y Democracia: Por qué necesitamos una ley d protección de datos personales by @coyotegris http://bit.ly/mON5L1