¿Cómo perfeccionar la ley de geolocalización?

La tecnología puede ser muy efectiva contra la delincuencia

La delincuencia usa hoy la tecnología para afectar a los ciudadanos. Debemos hacer un esfuerzo para que la tecnología sea más bien un arma eficaz para que nuestra autoridades luchen contra la delincuencia.

El 27 de julio de 2015, como parte de las facultades legislativas concedidas al Poder Ejecutivo, se publicó el Decreto Legislativo No. 1182, con la válida preocupación de combatir la creciente delincuencia, especialmente los miles de casos de extorsión que todos los días se reportan.

La norma establece un procedimiento muy célere (24 horas) para que en caso de un delito flagrante (extorsión, por ejemplo) la Policía pueda obtener datos que permitan geolocalizar dispositivos móviles (celulares, tablets, etc) de la red pública de telecomunicaciones y así ubicar a presuntos delincuentes.

El procedimiento creado por la norma requiere algunos presupuestos: a) que se esté cometiendo un delito de manera flagrante usando dispositivos móviles (para lo cual el afectado será quien informe de la ocurrencia del delito); b) debe ser un delito sancionado con cuatro o más años de privación de libertad (la extorsión claramente encaja en la norma); c) el acceso a los datos de geolocalización debe ser necesario para la investigación del delito (y no para cualquier otra causa); y d) que dentro de las 24 horas se reporte el caso a un fiscal y a un Juez para que convaliden la medida.

La pregunta clave es: ¿ésta norma viola el derecho de todo ciudadano al secreto o privacidad de sus comunicaciones?

Sigue leyendo

La protección de datos personales

El 3 de julio de 2011 se publicó en el Diario Oficial «El Peruano» la Ley de Protección de Datos Personales (Ley 29733) mediante la cual se recogieron los derechos, principios y obligaciones relacionadas con la recolección, tratamiento y protección de los datos personales de los ciudadanos. Casi 2 años después, el 22 de marzo último, mediante Decreto Supremo No. 003-2013-JUS se aprobó el Reglamento de la Ley (Ver aquí) en donde se desarrollaron y se estableció la forma de aplicación de las disposiciones de aquella. Este 8 de mayo entra en vigencia el Reglamento, pero las empresas que cuenten con Bancos de Datos tienen 2 años para adecuarlos a estas normas. En este post trataremos de destacar las principales disposiciones de las mismas y su forma de aplicación así como las preguntas que nos surgen de su lectura y los principales problemas que prevemos tendrán que afrontar las empresas que sean titulares de Bases de Datos.

En primer lugar debemos destacar que ambas normas establecen definiciones que resultan indispensables para su correcta interpretación y aplicación. Entre ellas, quisiera comentar la definición de «datos personales» y la preocupación que nos provoca su amplitud pues, conforme a lo que señala el Reglamento, se considera «dato personal» a cualquier información que identifique o permita hacer identificable a una persona. Lo mismo sucede con la definición de «datos sensibles» pues, de igual forma, contiene un listado sumamente amplio de este tipo de datos y concluye señalando que cualquier otro dato que afecte la intimidad del titular también tendrá aquel carácter. En ese sentido, todo pareciera indicar que, en el futuro, la autoridad encargada de la aplicación de estas normas gozará de suficiente discrecionalidad para completar dichas definiciones dejando a los administrados sujetos sus interpretaciones.

Otro aspecto interesante de estas normas es el establecimiento de una serie de principios que deben regir su aplicación e interpretación y que se encuentran relacionados con los derechos de los titulares de los datos, las obligaciones de los titulares de los bancos de datos y con el rol de la entidad del Estado encargada de su aplicación. Estos principios son los siguientes:

  • Legalidad: El tratamiento de datos personales debe hacerse de acuerdo a Ley.
  • Consentimiento: Para el tratamiento de datos personales es indispensable contar con el consentimiento del titular de los datos. El consentimiento debe ser libre, previo, expreso, informado e inequívoco.
  • Finalidad: La recopilación de datos debe tener una finalidad determinada, explícita y lícita. El tratamiento de los datos debe sujetarse a la finalidad inequívocamente expresada al momento de su recopilación. Adicionalmente, en el caso de datos sensibles, se requiere que la finalidad sea acorde a las actividades o fines del titular del Banco de Datos.
  • Calidad: Los datos personales deben ser veraces, exactos, actualizados, necesarios, pertinentes y adecuados a la finalidad para la que fueron recopilados. Se presume que los datos proporcionados por el titular de los mismos son exactos.
  • Seguridad: El titular del Banco de Datos debe adoptar las medidas de seguridad necesarias para evitar cualquier tratamiento contrario a la Ley o el Reglamento.
  • Disposición de Recurso: El titular de los datos personales debe contar con las vías administrativas y judiciales necesarias para reclamar o hacer valer sus derechos.
  • Nivel de protección adecuado: El flujos transfronterizo de datos debe estar sujeto a un nivel de protección suficiente o, por lo menos, equiparable a lo establecido en la Ley.

Mención aparte merece la regulación del «consentimiento» en estas normas pues, como hemos visto en los principios antes señalados, el consentimiento no sólo debe ser libre, previo, expreso, informado e inequívoco (términos a los que la Ley y el Reglamento dedican algún tiempo); sino que, además, debe ser específico para los tratamientos expresados por el titular del Banco de Datos, destinado únicamente a la transferencia nacional o internacional autorizada en su recolección y sujeto al derecho de revocarlo en cualquier momento.

Sobre el tema del consentimiento debemos resaltar algunos conceptos recogidos en las normas bajo comentario. Por ejemplo, la entrega de obsequios o beneficios no afectan la condición de libertad (salvo en el caso de menores de edad); pero el condicionamiento de la prestación de un servicio a la previa entrega de los datos si afecta la libertad y no se encuentra admitido. Además, las condiciones en que se otorgue el consentimiento no deben admitir dudas sobre su otorgamientos y puede ser verbal o escrito, en el mundo digital se acepta el consentimiento por «click», el uso de firmas electrónicas o usando textos preestablecidos.

No obstante ello, existen excepciones al consentimiento sobre las que, creemos, se producirá frondosa discrepancia y discusión en los próximos meses o años. Así, no se requiere consentimiento para el tratamiento de datos personales en los siguientes casos:

  • Cuando se recopilen para el Estado.
  • Cuando estén o vayan a estar en «fuentes accesibles al público». El Reglamento propone algunos casos de «fuentes accesibles al público» que deberemos mirar con mucho cuidado: medios de comunicación electrónica, guias telefónicas, diarios y revistas, medios de comunicación social, listas de gremios profesionales, jurisprudencia anonimizada, registros públicos, etc.
  • Cuando se trate de datos relativos a la solvencia patrimonial o al crédito (conforme a la ley de la materia)
  • Cuando medie norma para la promoción de competencia
  • Cuando los datos sean destinados a la ejecución de una relación contractual en la que el titular de los datos sea parte.
  • Cuando los datos deriven de una relación científica o profesional con el titular.
  • Cuando sea necesario utilizar los datos de salud por circunstancias de emergencia o «interés público»;
  • Cuando los datos de sus miembros sean tratados por organismos sin fines de lucro con finalidad política, religiosa o sindical.
  • Cuando hubiera mediado un procedimiento de anonimización o disociación.
  • Cuando el tratamiento sea necesario para proteger los intereses del titular de los datos.

Otro aspecto importante de estas normas es la relacionada a la transferencia de datos. Al respecto, se dispone que para ello se requiere el consentimiento previo del titular. Sin embargo, es posible realizar transferencias dentro de un grupo empresarial siempre que el mismo cuente con un código de conducta debidamente inscrito. Para la transferencia dentro del territorio nacional bastará con informar al receptor de los datos las condiciones que dieron lugar al consentimiento del titular. Finalmente, para la transferencia internacional será necesario asegurarse que el país de destino cuente con niveles de protección adecuados o, en caso contrario, que el emisor garantice que el tratamiento se va a realizar conforme a la Ley y el Reglamento. En lo que respecta a la tercerización del tratamiento (que no implica transferencia del Banco de Datos) bastará con garantizar el cumplimiento de lo establecido en ambos cuerpos normativos.

Antes de terminar quería dejar con ustedes algunas dudas que me han surgido durante la lectura de estas normas y que espero se puedan aclarar antes de su entrada en vigencia:

¿El concepto Banco de Datos incluye a aquellos listados de clientes que los vendedores de determinada empresa tienen en un Excel? O, peor aún, ¿la lista de contactos de mi Outlook?

¿La información contenida en Facebook o Linkedin puede ser considerada como una «fuente accesible al público»?

¿Qué deben hacer las empresas con los Bancos de Datos recopilados con anterioridad a la vigencia de estas normas? ¿La adecuación será posible cuando hablamos de Bancos con millones de registros? ¿Alcanzará el plazo de dos años?

Con el creciente uso de smartphones y sus habilidades de geolocalización ¿Se puede decir que esos datos no son indispensables para la prestación del servicio cuando con ellos puedo personalizar mejor mis ofertas?

Hablando de Big Data ¿Estas normas frenaran o impulsarán el tratamiento de la información obtenida de la infinidad de fuentes que hoy generan información utilizable para prestar servicios?

¿Las empresas necesitarán consentimiento para recoger datos de la cada vez mayor cantidad de aparatos conectados a Internet? ¿El M2M se perjudicará?

¿Se puede considerar que un consentimiento es expreso cuando el titular de los datos utiliza una página web y se somete a sus «Condiciones de Uso»?

Aunque considero que no sería necesaria una regulación específica ¿La transferencia de Bancos de Datos como consecuencia de una fusión o reorganización empresarial estará sujeta a algún requisito especial?

Si una persona me entrega su tarjeta, ¿puedo ingresar su información a un Banco de Datos de mi empresa?

Espero sus comentarios.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

El registro obligatorio de usuarios de cabinas de Internet


El mes pasado, el Tribunal Constitucional Chileno declaró inconstitucional una norma de la ley contra el abuso infantil que ordenaba la creación de un registro de usuarios de cabinas de Internet. La disposición, aprobada dentro de la ley que sanciona el acoso sexual de menores y pornografía infantil, obligaba a todo establecimiento cuyo negocio principal sea ofrecer Internet a llevar un registro pormenorizado de cada usuario de cada computadora y a condicionar la prestación del servicio a la entrega de los datos personales. Este registro sería de carácter reservado y solo podría ser puesto a disposición del Ministerio Público bajo orden judicial.

En su Sentencia, el Tribunal determinó que la medida afectaba el derecho a la vida privada de las personas, tal como había señalado la ONG Derechos Digitales, al obligarlos a ser parte de una base de datos de posibles infractores por el solo hecho de acceder a Internet. Al mismo tiempo, el Tribunal señaló que no resultaba válido imponer esta obligación a las cabinas de Internet y no a otros espacios como universidades, hoteles o restaurantes que también ofrecían ese servicio.

En Perú debemos de leer esta noticia con cuidado. Nuestra Ley 28119 (.pdf), que prohíbe el acceso a de menores de edad a páginas pornográficas a través de cabinas de Internet, contiene desde el año 2007 una norma similar. Al igual que en el caso chileno, ordena a las cabinas a llevar un registro detallado de todos sus usuarios:

Artículo 5.— Registro de usuarios
Los administradores de cabinas públicas de internet llevan un registro escrito de los usuarios mayores de edad, que incluye el número del Documento Nacional de Identidad – DNI o el documento que, por disposición legal, esté destinado a la identificación personal, número de cabina y hora de ingreso y salida, por un período no inferior a los seis (6) meses.

En el Reglamento de la Ley (.pdf), aprobado en diciembre de 2010, se amplía el registro para incluir también a los acompañantes de los usuarios de las cabinas. Sobre su régimen de publicidad, al Reglamento le basta con indicar que deberá de ser exhibido “cuando así sea requerido por una autoridad competente”. Las sanciones por el incumplimiento de la norma, administradas por una Comisión Multisectorial bajo el ámbito de los gobiernos locales, van desde el cierre por cinco días hasta la clausura definitiva del local.

Siguiendo la línea de lo sostenido por el Tribunal chileno, creo que nuestra norma plantea serios cuestionamientos constitucionales. Entiendo que, en atención al interés superior del menor, pueden plantearse límites a los derechos fundamentales. Sin embargo, creo que en este caso la obligación de entregar los datos personales a los administradores de cabinas, sin las garantías ni las responsabilidades del caso, es colocar en estado de indefensión al ciudadano. Esta obligación, además, pasa por alto el derecho a acceder en forma anónima a la red como parte del derecho a la libertad de expresión. Más aún, exigir este registro podría traer dos consecuencias alternativas: (1) que ninguna cabina lo lleve, por engorroso, como sucede actualmente; o, (2) que, para salvaguardar su privacidad, los usuarios empiecen a preferir otros establecimientos como restaurantes o establecimientos con wifi gratuito lo que afectaría el negocio de las cabinas de Internet.

Por último, en Chile, el propósito de la norma era lograr identificar a los usuarios que no pueden ser identificados porque se conectan desde cabinas de Internet. Aquí, la norma es sobre el acceso de menores a cabinas de Internet y el potencial riesgo que ello entraña. Entonces, ¿por qué resulta necesario un registro? Lo cierto es que el contenido de la Ley y su Reglamento ha sido desarrollado en varias ordenanzas municipales, pero no he encontrado ninguna que recoja la obligación del registro.  ¿A qué se debe esta ausencia? ¿Será que las municipalidades no han querido hacerse cargo de esta obligación desproporcionada?

Foto: Bill Herndon (CC BY-ND)

¿Es caro guardar un secreto?

La Constitución reconoce el derecho de las personas a que sus datos personales sean tratados con reserva. En desarrollo de este mandato constitucional, tenemos un cuerpo normativo disperso que intenta proteger este derecho mediante el establecimiento de diferentes obligaciones a los agentes que de una u otra forma almacenan información personal. Durante los últimos años, sin embargo, es común sentir que con el avance de las tecnologías de la información nuestra información personal está más expuesta que nunca. A través de un rápido cruce entre Google Latitude, Uber Twitter, Facebook o la información de red que posee cualquier operador móvil, resulta sencillo determinar la ubicación exacta de una persona, lugares que frecuenta y preferencias de consumo. El panorama se hace un poco más complejo si añadimos los registros médicos, tributarios o bancarios. ¿Acaso ya perdimos la privacidad o estamos a punto de? ¿Por qué sentimos esto si estamos aparentemente protegidos por un cuerpo normativo?

Un artículo aparecido la semana pasada en Forbes se hace la misma pregunta y ensaya una respuesta: la consecuencia del cúmulo de normas y obligaciones impuestas regulatoriamente a los agentes que manipulan información privada es la ineficiencia. La regulación es tal que su implementación termina por ser excesivamente costosa para los mismos y, además, comporta costos también para los propios sujetos protegidos por la norma, quienes se vuelven insensibles a las numerosas advertencias que se le presentan. Por sobretodo, es un costo que no redunda en el bienestar social porque finalmente seguimos estando expuestos.

De un lado, tenemos el impacto alegadamente negativo que tienen las normas que protegen la privacidad. Todos los agentes que, de una u otra forma manejan información privada de terceros se ven obligados a cumplir con estas normas. Este cumplimiento acarrea un costo para el agente: honorarios de abogados, preparación y firma de acuerdos sobre privacidad con sus usuarios, presentación de informes periódicos sobre las medidas implementadas. A mayor regulación, mayores costos. Para Lee Gomes de Forbes, estos costos representan una externalidad negativa para el agente porque éste carece de razones de mercado para guardar reserva sobre esta información: de no existir una regulación que le prohibiese utilizar con otros fines la información a la que tiene acceso, lo haría. Esta primera constatación, se señala, es la que nos hace buscar la eficiencia a través de regulación y no del mercado.

Por otro lado, todos quienes alguna vez hemos contratado un servicio en el que tuvimos que autorizar a manipular nuestra información personal (abrir una cuenta de correo electrónico, participar en una promoción comercial o sacar un teléfono móvil) hemos tenido en frente cláusulas sobre confidencialidad de la información, autorización de ciertos usos de la misma, entre otros. ¿Cuándo fue la última vez que leímos alguna de esas cláusulas sobre el manejo de la información privada? Lee Gomes cita el ejemplo de una asociación de repostería que, debido a una brecha de seguridad ocurrida en sus sistemas, tuvo que enviar miles de cartas a sus asociados advirtiéndolos sobre el hecho. Los costos involucrados en ello podrían llegar a poner en riesgo la estabilidad de la asociación misma. Su conclusión es la siguiente: la montaña de papeles y cláusulas que la regulación obliga a firmar a las personas cuyos datos son utilizados consiguen exactamente el efecto inverso al deseado, los vuelve insensibles al tema. Nos hubiésemos preocupado si hace veinte años hubiese una suerte de comunidad de amigos por correspondencia en la que los administradores de la misma, y la mayoría de sus usuarios, puedan conocer tus gustos personales, amigos, actividades sociales y tener acceso a todas nuestras fotos. Hoy, estamos tan acostumbrados que vemos este nivel de exposición como natural. En ese sentido, la excesiva regulación deviene en ineficiente.

Aunque también podría argumentarse que resulta igualmente costoso para las empresas y para los usuarios no establecer claramente las condiciones en las que se manipulará la información cedida en el marco de la prestación del servicio. Las empresas terminan con una oferta menos atractiva por lo incierto del tratamiento y los usuarios, por la misma razón, pueden verse expuestos a molestos correos publicitarios o llamadas de telemárketing, entre otros. Esto podría hacernos pensar, contra lo señalado por el artículo de Forbes, que la no asunción de estos costos representan suficiente incentivo para los agentes como para buscar una autorregulación.

No sé si en todos los países exista un mercado tan maduro como para preocuparse por una autorregulación sobre el manejo de datos. Quizás esté subestimando a los consumidores informados. Además, como señala Bruce Schneier, este esquema de incentivos para la autorregulación solo funcionaría para aquellas empresas que directamente recopilan datos de los usuarios, y no para agentes como centrales de riesgo que precisamente negocian con esta información. Es importante, sin embargo, volvernos sensibles a la importancia de contar con un cuerpo único de normas que permitan alcanzar cierta eficiencia en el manejo de datos personales. Schneier aproxima algunas sugerencias: (i) buscar una regulación más amplia y simple, antes que una restrictiva y compleja; (ii) regular por resultados antes que por métodos; y, (iii) penalidades lo suficientemente altas para incentivar el cumplimiento. La necesidad de un solo cuerpo normativo que actúe como marco general se vuelve, en este panorama, imperante. Pero quién lo sabe, quizás uno de estos días hasta nos damos con  la sorpresa de que por fin salió la la Ley de Protección de Datos Personales.

Si Internet no olvida, Google tampoco

El blog de Enrique Dans (La persistencia de la memoria) nos presenta la siguiente noticia: el Juez David Harvey de la corte del distrito de Manukau en Nueva Zelanda, acaba de prohibir la difusión on-line de la identidad y la fotografía de dos hombres acusados de asesinar a un menor de edad (Judge restricts online reporting of case y Judge bans online naming of murder accused), mientras que, por otro lado, permite que esta información se publique través de medios tradicionales como la prensa escrita, la radio y la televisión. Para el Juez, la medida buscaría evitar que se acceda a esta información cuando el caso se encuentre en juicio. Básicamente, se trata de prevenir que alguien pueda “googlear” los nombres de los acusados y tener acceso a esta información, así como, según señala, el efecto viral de la publicación digital.

Hay que tener en cuenta que el juez Harvey no es un neófito en nuevas tecnologías. Este togado comparte las labores de magistrado con la cátedra de Derecho y tecnologías de la información en la Universidad de Auckland e incluso ha escrito un libro sobre Internet y el Derecho (internet.law.nz). Si tomamos el esfuerzo de “googlear” su nombre sabremos que en los últimos tiempos se ha dedicado a escribir papers y dictar charlas y cursos relacionados con Internet y el Derecho.

Dans utiliza el auto del Juez Harvey como una excusa para reflexionar acerca de lo que él llama la persistencia de la información en Internet mientras que cuando aparece en medios de comunicación tradicionales se olvida con facilidad. Este problema, el de la trascendencia de los datos en Internet y de su facilidad para encontrarlos, empieza a generar importantes interrogantes con relación a la protección de los derechos de los ciudadanos.

Un buen día de 2006 a un ciudadano español se le impone una multa por orinar en la vía pública. La información aparece publicada en el Boletín Oficial de la Provincia (BOP) tanto en papel como en Internet. Poco tiempo después este señor es nombrado subdirector de una escuela estatal, sin embargo, la noticia de esta impropia acción aparece cada vez que se digita su nombre en Google. Mortificado, se contacta con los representantes del buscador pero éstos le informan que no es posible desarrollar un filtro y que en todo caso tendría que contactarse con el BOP para que la notificación sea desalojada de la web, sólo así los robots de Google dejarán de encontrarla. En el mes de mayo de 2007 presenta un reclamo de Tutela de Derechos ante la Agencia Española de Protección de Datos (AEPD) por la denegación de Google de eliminar de sus resultados este contenido.  

Google alegó, durante el proceso administrativo, que las informaciones obtenidas a través de sus resultados de búsqueda se encuentran en páginas de terceros de acceso público. En consecuencia, para eliminar el contenido de sus resultados debería desaparecer de la página. Por su parte, la Administración informó que la publicación en el BOP, se hacía en cumplimiento de un dispositivo legal. La AEPD nos recuerda, al resolver que, ningún ciudadano que no sea personaje público u objeto de hecho noticiable tiene que soportar que sus datos de carácter personal circulen sin corregir su inclusión en un sistema de comunicación universal como Internet. Por lo tanto, falla estimando la reclamación y el derecho de oposición ejercido contra Google, instando a que se adopten las medidas para retirar los datos de su índice e imposibilite el acceso futuro a los mismos.

Estos dos casos son oportunos para discutir algunos aspectos del derecho a la protección de los datos personales y de la facilidad de acceder a éstos en Internet. Es evidente que en un mundo analógico una de las mayores defensas del anonimato es la dificultad que representa buscar en miles de documentos cubiertos de polvo y desordenados en decenas de hemerotecas. Es decir es el propio código de la realidad  el mejor muro para mantener la ignorancia. Esta defensa se desbarata con Internet. Sin embargo, la orden de la AEPD española no parece ser la más eficiente para proteger al ciudadano, en la medida que si bien Google es el buscador más conocido, no es el único y por lo tanto una limitación como la impuesta sólo tendrá un carácter parcial y será por lo tanto ineficiente, obligando a los ciudadanos a recurrir a cada uno de los buscadores del planeta para que filtren la información no deseada de sus motores de búsqueda.

APEC y la privacidad en el Perú

Privacy Policies & Personal Data por Si1very.

Hoy por la mañana estuvimos en la tercera ronda de reuniones preparatorias que con motivo de la reunión principal de APEC a llevarse a cabo en el mes de noviembre en nuestro país, se vienen desarrollando en Lima. La sesión que nos convocó fue la de privacidad co-organizada por OSIPTEL donde quizás el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí,  pronto verá la luz ya que  actualmente se encuentra en el despacho del Consejo de Ministros. Es importante resaltar los esfuerzos desplegados por la Oficina de Asesoría Jurídica del Ministerio de Justicia durante la gestión del Presidente Toledo por difundir el debate y promover la discusión alrededor del tema.

Sin embargo la pregunta de fondo es ¿que implica tener una ley de protección de datos personales? o, en todo caso, ¿para qué nos sirve una ley de protección de datos personales?

Intentaremos ser breves y claros en nuestra explicación. Existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. El Proyecto de Ley peruano se enmarca dentro del segundo modelo, el europeo. Es más, la norma peruana tiene una redacción casi idéntica a una de las normas más restrictivas de la Unión Europea: la Ley Orgánica de Protección de Datos española y su Reglamento, cuyo cumplimiento es supervisado por la Agencia de Protección de Datos Española. Cabe precisar que dicha entidad cuenta con amplias facultades normativas y sancionadoras habiendo impuesto multas bastante elevadas a empresas españolas que infringen la normativa de datos personales (ver aquí el reciente pronunciamiento de dicha agencia en torno a la utilización de datos personales a través de páginas como YouTube).

Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿como nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos «datos personales» y «jr. wilson» confirman nuestra afirmación. Sin embargo recurrir al Derecho como solución salvadora al problema puede (como usualmente ocurre) resultar insuficiente si la regulación no es sensata y moderada.

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco,  dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación).

Sin duda una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. Sin embargo, ello no justifica la inexistencia de iniciativas legislativas que intenten regular la problemática planteada. Eso sí, de manera sensata y siempre de la mano de medidas  que sancionen drástica y efectivamente a quienes trafican y malutilizan nuestros datos personales.