La protección de datos personales

El 3 de julio de 2011 se publicó en el Diario Oficial «El Peruano» la Ley de Protección de Datos Personales (Ley 29733) mediante la cual se recogieron los derechos, principios y obligaciones relacionadas con la recolección, tratamiento y protección de los datos personales de los ciudadanos. Casi 2 años después, el 22 de marzo último, mediante Decreto Supremo No. 003-2013-JUS se aprobó el Reglamento de la Ley (Ver aquí) en donde se desarrollaron y se estableció la forma de aplicación de las disposiciones de aquella. Este 8 de mayo entra en vigencia el Reglamento, pero las empresas que cuenten con Bancos de Datos tienen 2 años para adecuarlos a estas normas. En este post trataremos de destacar las principales disposiciones de las mismas y su forma de aplicación así como las preguntas que nos surgen de su lectura y los principales problemas que prevemos tendrán que afrontar las empresas que sean titulares de Bases de Datos.

En primer lugar debemos destacar que ambas normas establecen definiciones que resultan indispensables para su correcta interpretación y aplicación. Entre ellas, quisiera comentar la definición de «datos personales» y la preocupación que nos provoca su amplitud pues, conforme a lo que señala el Reglamento, se considera «dato personal» a cualquier información que identifique o permita hacer identificable a una persona. Lo mismo sucede con la definición de «datos sensibles» pues, de igual forma, contiene un listado sumamente amplio de este tipo de datos y concluye señalando que cualquier otro dato que afecte la intimidad del titular también tendrá aquel carácter. En ese sentido, todo pareciera indicar que, en el futuro, la autoridad encargada de la aplicación de estas normas gozará de suficiente discrecionalidad para completar dichas definiciones dejando a los administrados sujetos sus interpretaciones.

Otro aspecto interesante de estas normas es el establecimiento de una serie de principios que deben regir su aplicación e interpretación y que se encuentran relacionados con los derechos de los titulares de los datos, las obligaciones de los titulares de los bancos de datos y con el rol de la entidad del Estado encargada de su aplicación. Estos principios son los siguientes:

  • Legalidad: El tratamiento de datos personales debe hacerse de acuerdo a Ley.
  • Consentimiento: Para el tratamiento de datos personales es indispensable contar con el consentimiento del titular de los datos. El consentimiento debe ser libre, previo, expreso, informado e inequívoco.
  • Finalidad: La recopilación de datos debe tener una finalidad determinada, explícita y lícita. El tratamiento de los datos debe sujetarse a la finalidad inequívocamente expresada al momento de su recopilación. Adicionalmente, en el caso de datos sensibles, se requiere que la finalidad sea acorde a las actividades o fines del titular del Banco de Datos.
  • Calidad: Los datos personales deben ser veraces, exactos, actualizados, necesarios, pertinentes y adecuados a la finalidad para la que fueron recopilados. Se presume que los datos proporcionados por el titular de los mismos son exactos.
  • Seguridad: El titular del Banco de Datos debe adoptar las medidas de seguridad necesarias para evitar cualquier tratamiento contrario a la Ley o el Reglamento.
  • Disposición de Recurso: El titular de los datos personales debe contar con las vías administrativas y judiciales necesarias para reclamar o hacer valer sus derechos.
  • Nivel de protección adecuado: El flujos transfronterizo de datos debe estar sujeto a un nivel de protección suficiente o, por lo menos, equiparable a lo establecido en la Ley.

Mención aparte merece la regulación del «consentimiento» en estas normas pues, como hemos visto en los principios antes señalados, el consentimiento no sólo debe ser libre, previo, expreso, informado e inequívoco (términos a los que la Ley y el Reglamento dedican algún tiempo); sino que, además, debe ser específico para los tratamientos expresados por el titular del Banco de Datos, destinado únicamente a la transferencia nacional o internacional autorizada en su recolección y sujeto al derecho de revocarlo en cualquier momento.

Sobre el tema del consentimiento debemos resaltar algunos conceptos recogidos en las normas bajo comentario. Por ejemplo, la entrega de obsequios o beneficios no afectan la condición de libertad (salvo en el caso de menores de edad); pero el condicionamiento de la prestación de un servicio a la previa entrega de los datos si afecta la libertad y no se encuentra admitido. Además, las condiciones en que se otorgue el consentimiento no deben admitir dudas sobre su otorgamientos y puede ser verbal o escrito, en el mundo digital se acepta el consentimiento por «click», el uso de firmas electrónicas o usando textos preestablecidos.

No obstante ello, existen excepciones al consentimiento sobre las que, creemos, se producirá frondosa discrepancia y discusión en los próximos meses o años. Así, no se requiere consentimiento para el tratamiento de datos personales en los siguientes casos:

  • Cuando se recopilen para el Estado.
  • Cuando estén o vayan a estar en «fuentes accesibles al público». El Reglamento propone algunos casos de «fuentes accesibles al público» que deberemos mirar con mucho cuidado: medios de comunicación electrónica, guias telefónicas, diarios y revistas, medios de comunicación social, listas de gremios profesionales, jurisprudencia anonimizada, registros públicos, etc.
  • Cuando se trate de datos relativos a la solvencia patrimonial o al crédito (conforme a la ley de la materia)
  • Cuando medie norma para la promoción de competencia
  • Cuando los datos sean destinados a la ejecución de una relación contractual en la que el titular de los datos sea parte.
  • Cuando los datos deriven de una relación científica o profesional con el titular.
  • Cuando sea necesario utilizar los datos de salud por circunstancias de emergencia o «interés público»;
  • Cuando los datos de sus miembros sean tratados por organismos sin fines de lucro con finalidad política, religiosa o sindical.
  • Cuando hubiera mediado un procedimiento de anonimización o disociación.
  • Cuando el tratamiento sea necesario para proteger los intereses del titular de los datos.

Otro aspecto importante de estas normas es la relacionada a la transferencia de datos. Al respecto, se dispone que para ello se requiere el consentimiento previo del titular. Sin embargo, es posible realizar transferencias dentro de un grupo empresarial siempre que el mismo cuente con un código de conducta debidamente inscrito. Para la transferencia dentro del territorio nacional bastará con informar al receptor de los datos las condiciones que dieron lugar al consentimiento del titular. Finalmente, para la transferencia internacional será necesario asegurarse que el país de destino cuente con niveles de protección adecuados o, en caso contrario, que el emisor garantice que el tratamiento se va a realizar conforme a la Ley y el Reglamento. En lo que respecta a la tercerización del tratamiento (que no implica transferencia del Banco de Datos) bastará con garantizar el cumplimiento de lo establecido en ambos cuerpos normativos.

Antes de terminar quería dejar con ustedes algunas dudas que me han surgido durante la lectura de estas normas y que espero se puedan aclarar antes de su entrada en vigencia:

¿El concepto Banco de Datos incluye a aquellos listados de clientes que los vendedores de determinada empresa tienen en un Excel? O, peor aún, ¿la lista de contactos de mi Outlook?

¿La información contenida en Facebook o Linkedin puede ser considerada como una «fuente accesible al público»?

¿Qué deben hacer las empresas con los Bancos de Datos recopilados con anterioridad a la vigencia de estas normas? ¿La adecuación será posible cuando hablamos de Bancos con millones de registros? ¿Alcanzará el plazo de dos años?

Con el creciente uso de smartphones y sus habilidades de geolocalización ¿Se puede decir que esos datos no son indispensables para la prestación del servicio cuando con ellos puedo personalizar mejor mis ofertas?

Hablando de Big Data ¿Estas normas frenaran o impulsarán el tratamiento de la información obtenida de la infinidad de fuentes que hoy generan información utilizable para prestar servicios?

¿Las empresas necesitarán consentimiento para recoger datos de la cada vez mayor cantidad de aparatos conectados a Internet? ¿El M2M se perjudicará?

¿Se puede considerar que un consentimiento es expreso cuando el titular de los datos utiliza una página web y se somete a sus «Condiciones de Uso»?

Aunque considero que no sería necesaria una regulación específica ¿La transferencia de Bancos de Datos como consecuencia de una fusión o reorganización empresarial estará sujeta a algún requisito especial?

Si una persona me entrega su tarjeta, ¿puedo ingresar su información a un Banco de Datos de mi empresa?

Espero sus comentarios.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

El Perú, la privacidad, los mercados y la ley

Si usted se encuentra vinculado a alguna empresa de servicios públicos, de telemarketing, entidad financiera o de salud, call center o quizás algún negocio virtual esta nota seguramente será de su interés. El año pasado el Perú aprobó la Ley General de Protección de Datos Personales que básicamente postula que ninguna entidad pública o privada podrá utilizar información personal de ningún ciudadano sin su autorización “previa, informada, expresa e inequívoca”. Sin duda una iniciativa positiva que contribuye a un fin mayor: prevenir el uso de dicha información para actividades delictivas.

Recientemente el Ministerio de Justicia publicó el Proyecto de Reglamento de la citada ley. Entre otras cosas se precisa en detalle cómo deberá ser la autorización  antes mencionada, las medidas de seguridad que deberán tener las bases de datos, el plazo de adecuación para bases de datos existentes, las obligaciones de registro de bases de datos en un registro público nacional, la transferencia internacional de datos personales y el régimen de sanciones y multas, que alcanzan las 100 UIT. Incluso el proyecto se aventura a regular el tratamiento de datos por servicios de comunicaciones electrónicas y cloud computing.

Los 132 artículos del Proyecto revelan una clara vocación reglamentarista y merecen una lectura detenida a fin de salvaguardar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado. El plazo para presentar comentarios ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vence el próximo jueves 12 de abril.

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que «no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público«. En otras palabras, si algún dato personal ya está contenido en una «fuente accesible para el público», no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a «todo otro registro o base de datos calificado como público». Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)

LegalTech 2010: Feria tecnológica para abogados (I)

Para nadie resultaría una sorpresa señalar que la información es la materia prima para el trabajo cotidiano de los abogados. La utilizamos para elaborar informes, opiniones legales, escritos judiciales, cartas y demás documentos, y para hacerlo debemos consultar no sólo las tradicionales Fuentes del Derecho (leyes, jurisprudencia y doctrina), sino también todo tipo de información que nos permita tomar mejores y oportunas decisiones.

Pero es tanta la cantidad existente que ahora el problema no es obtenerla, sino la capacidad de organizarla y procesarla a tiempo.

Gracias a la evolución de la tecnología podemos mejorar la búsqueda, recuperación, organización y análisis de la información. Podemos ofrecer mejores servicios legales utilizando herramientas de investigación como bases de datos (e.g. SPIJ, Data Legal o las extranjeras LexisNexis y Westlaw). También consultar informes y contratos aprovechando sistemas que organizan la documentación electrónica; realizar seguimientos de procesos judiciales; etc. Inclusive, gestionar mejor el área administrativa del negocio empleando sistemas para registro de tiempos y facturación.

Siendo así, el sector legal probablemente sea uno de los más importantes consumidores de tecnología, razón por la cual decidimos visitar el evento donde pudiésemos encontrar tecnología orientada específicamente a este sector. Y dónde más podría estar que en Estados Unidos, un mercado que tiene la mayor cantidad de estudios de abogados en el mundo, con un estimados de 50,000 estudios de abogados -un promedio de 1,000 por Estado-, que van desde firmas de más de 3,000 abogados hasta las que tienen no menos de 2 profesionales.

LegalTech

LegalTech es el evento de tecnología legal más importante en Estados Unidos, que se lleva a cabo en New York -durante los primeros días de febrero- y en Los Angeles, a mediados de año. Es auspiciada por ALM con el propósito de ayudar a abogados a descubrir los últimos desarrollos de la tecnología enfocada a nuestro sector.

Si bien a primera impresión pareciera que quienes reservan un espacio en LegalTech enfilan sus baterías hacia grandes empresas de cientos de abogados y decenas de oficinas, también hay soluciones menos ambiciosas y más flexibles. Existe una oferta importante para organizaciones medianas y pequeñas (categoría en la que se sitúan los estudios de abogados de la Región), que asegura la escalabilidad necesaria para aumentar funcionalidades a medida que se vaya creciendo en el tiempo.

Acorde con los avances de la tecnología en los últimos diez años los estudios de abogados han hecho enormes progresos en términos de automatización de procesos, organización de documentos electrónicos y, en líneas generales, se percibe claramente un aumento de la productividad y eficiencia como resultado del uso de la informática. Y esto se nota en eventos como estos, donde los abogados que asisten aparecen más familiarizados con las innovaciones tecnológicas y por ello se concentran más en las necesidades reales y precisas de sus organizaciones.

Y así también lo han entendido muchos proveedores, razón por la cual, al menos en esta oportunidad, se han concentrado en corregir vulnerabilidades más que promocionar nuevos lanzamientos; y la novedad, más bien, es difundir servicios de valor agregado para mejorar el rendimiento del producto y del abogado que lo utiliza (accesos remotos, movilidad, velocidad, respaldo y seguridad).

¿Es caro guardar un secreto?

La Constitución reconoce el derecho de las personas a que sus datos personales sean tratados con reserva. En desarrollo de este mandato constitucional, tenemos un cuerpo normativo disperso que intenta proteger este derecho mediante el establecimiento de diferentes obligaciones a los agentes que de una u otra forma almacenan información personal. Durante los últimos años, sin embargo, es común sentir que con el avance de las tecnologías de la información nuestra información personal está más expuesta que nunca. A través de un rápido cruce entre Google Latitude, Uber Twitter, Facebook o la información de red que posee cualquier operador móvil, resulta sencillo determinar la ubicación exacta de una persona, lugares que frecuenta y preferencias de consumo. El panorama se hace un poco más complejo si añadimos los registros médicos, tributarios o bancarios. ¿Acaso ya perdimos la privacidad o estamos a punto de? ¿Por qué sentimos esto si estamos aparentemente protegidos por un cuerpo normativo?

Un artículo aparecido la semana pasada en Forbes se hace la misma pregunta y ensaya una respuesta: la consecuencia del cúmulo de normas y obligaciones impuestas regulatoriamente a los agentes que manipulan información privada es la ineficiencia. La regulación es tal que su implementación termina por ser excesivamente costosa para los mismos y, además, comporta costos también para los propios sujetos protegidos por la norma, quienes se vuelven insensibles a las numerosas advertencias que se le presentan. Por sobretodo, es un costo que no redunda en el bienestar social porque finalmente seguimos estando expuestos.

De un lado, tenemos el impacto alegadamente negativo que tienen las normas que protegen la privacidad. Todos los agentes que, de una u otra forma manejan información privada de terceros se ven obligados a cumplir con estas normas. Este cumplimiento acarrea un costo para el agente: honorarios de abogados, preparación y firma de acuerdos sobre privacidad con sus usuarios, presentación de informes periódicos sobre las medidas implementadas. A mayor regulación, mayores costos. Para Lee Gomes de Forbes, estos costos representan una externalidad negativa para el agente porque éste carece de razones de mercado para guardar reserva sobre esta información: de no existir una regulación que le prohibiese utilizar con otros fines la información a la que tiene acceso, lo haría. Esta primera constatación, se señala, es la que nos hace buscar la eficiencia a través de regulación y no del mercado.

Por otro lado, todos quienes alguna vez hemos contratado un servicio en el que tuvimos que autorizar a manipular nuestra información personal (abrir una cuenta de correo electrónico, participar en una promoción comercial o sacar un teléfono móvil) hemos tenido en frente cláusulas sobre confidencialidad de la información, autorización de ciertos usos de la misma, entre otros. ¿Cuándo fue la última vez que leímos alguna de esas cláusulas sobre el manejo de la información privada? Lee Gomes cita el ejemplo de una asociación de repostería que, debido a una brecha de seguridad ocurrida en sus sistemas, tuvo que enviar miles de cartas a sus asociados advirtiéndolos sobre el hecho. Los costos involucrados en ello podrían llegar a poner en riesgo la estabilidad de la asociación misma. Su conclusión es la siguiente: la montaña de papeles y cláusulas que la regulación obliga a firmar a las personas cuyos datos son utilizados consiguen exactamente el efecto inverso al deseado, los vuelve insensibles al tema. Nos hubiésemos preocupado si hace veinte años hubiese una suerte de comunidad de amigos por correspondencia en la que los administradores de la misma, y la mayoría de sus usuarios, puedan conocer tus gustos personales, amigos, actividades sociales y tener acceso a todas nuestras fotos. Hoy, estamos tan acostumbrados que vemos este nivel de exposición como natural. En ese sentido, la excesiva regulación deviene en ineficiente.

Aunque también podría argumentarse que resulta igualmente costoso para las empresas y para los usuarios no establecer claramente las condiciones en las que se manipulará la información cedida en el marco de la prestación del servicio. Las empresas terminan con una oferta menos atractiva por lo incierto del tratamiento y los usuarios, por la misma razón, pueden verse expuestos a molestos correos publicitarios o llamadas de telemárketing, entre otros. Esto podría hacernos pensar, contra lo señalado por el artículo de Forbes, que la no asunción de estos costos representan suficiente incentivo para los agentes como para buscar una autorregulación.

No sé si en todos los países exista un mercado tan maduro como para preocuparse por una autorregulación sobre el manejo de datos. Quizás esté subestimando a los consumidores informados. Además, como señala Bruce Schneier, este esquema de incentivos para la autorregulación solo funcionaría para aquellas empresas que directamente recopilan datos de los usuarios, y no para agentes como centrales de riesgo que precisamente negocian con esta información. Es importante, sin embargo, volvernos sensibles a la importancia de contar con un cuerpo único de normas que permitan alcanzar cierta eficiencia en el manejo de datos personales. Schneier aproxima algunas sugerencias: (i) buscar una regulación más amplia y simple, antes que una restrictiva y compleja; (ii) regular por resultados antes que por métodos; y, (iii) penalidades lo suficientemente altas para incentivar el cumplimiento. La necesidad de un solo cuerpo normativo que actúe como marco general se vuelve, en este panorama, imperante. Pero quién lo sabe, quizás uno de estos días hasta nos damos con  la sorpresa de que por fin salió la la Ley de Protección de Datos Personales.

Foro sobre protección de datos en el Congreso

El día 12 de noviembre se desarrollará por iniciativa del despacho del congresista Víctor Isla Rojas y la Asociación Nacional de Defensa del Consumidor (ANDC), el Foro «Privacidad, Seguridad y Protección de Datos del Consumidor«, desde las 15 horas, en la Sala Grau del Palacio Legislativo (Plaza Bolivar s/n -Cercado de Lima).

Dada la escasa relevancia y difusión que suelen tener la defensa de los derechos de los ciudadanos en la discusión cotidiana, nos encontramos ante una buena iniciativa que vale la pena destacar.

El evento será presentado por el congresista Víctor Isla Rojas y tendrá como expositores al Dr. Raúl Chanamé Orbe (Derecho a la privacidad en la jurisprudencia peruana); Dr. Cedric Laurant (Evolución histórica del derecho a la privacidad y la protección de datos personales en el mundo); Dra. Rosa María Apaza Estaño (Defensa de la intimidad del consumidor y la protección de datos); Jeimy Cano Martínez (Gestión de Seguridad de la Información y su relación con la Ley de Protección de Datos) y los blawyers Antonio Rodríguez Lobatón (Institucionalidad y protección de datos) y Oscar Montezuma Panes (La defensa de los datos personales en Europa, Estados Unidos y Latinomérica).

El ingreso será libre.