La campaña para aprobar como sea la Ley de Delitos Informáticos

Ollanta Humala tiene hasta este martes 22 de octubre para firmar o rechazar el Proyecto de Ley de Delitos Informáticos. Como recordarán, se trata de un proyecto de ley elaborado y aprobado en cuatro horas por el Congreso y, en las propias palabras de un funcionario del Ministerio de Justicia, “totalmente distinto” de lo que la Comisión de Justicia aprobó el año pasado.

En los últimos días, el Ministerio de Justicia se ha dedicado a “defender” el Proyecto de Ley en distintos medios de comunicación. Es una tarea difícil, teniendo en cuenta que el Proyecto que hoy tiene el Presidente representa solo una parte de lo propuesto por el Ministerio de Justicia en julio. Parte de la campaña ha consistido en enviar notas de prensa explicando los beneficios del Proyecto y alertando a la población de los peligros que representaría no aprobarlo.

Lo primero que dicen es que el proyecto solo se limita a seguir la Convención de Budapest sobre el Ciberdelito. Eso es inexacto porque en ninguna parte de la convención de Budapest se habla de grooming, discriminación o agravantes para la interceptación de información pública. Incluso en los casos en los que simplemente se traduce la Convención, se elige pasar por alto algunos detalles. Por ejemplo, la Convención de Budapest permite a los Estados solo criminalizar la alteración de un dato informático cuando se provoque un daño grave (artículo 5). En nuestro caso, el artículo 3 del Proyecto ha elegido no hacer esa precisión. Lo que significa que cualquiera que borre o altere un archivo ajeno puede ir preso.

Sigue leyendo

Comentarios al Proyecto de Reglamento de la Ley de Protección de Datos Personales

Ayer concluyó el plazo para presentar comentarios al Proyecto de Reglamento de la Ley 29733 publicado por el Ministerio de Justicia en su página web [PDF, 9MB]. La Ley de Protección de Datos Personales, publicada en julio del año pasado, suspendía parcialmente su vigencia hasta la publicación de su Reglamento. El Reglamento fue elaborado por una Comisión Multisectorial y su proyecto fue hecho público para comentarios el mes pasado.

Oscar Montezuma y yo hemos presentado nuestros comentarios, a título individual, haciendo un fuerte énfasis a favor de la simplificación de la regulación. Como señalamos en el documento, creemos que es necesario realizar ajustes en el texto propuesto del Reglamento con la finalidad de hacer que el cumplimiento de la Ley sea mejor entendido por el público en general y por los agentes económicos que tratan datos personales. Una reglamentación muy compleja elevaría los costos de cumplimiento de la Ley por parte de los agentes económicos y, a su vez, la administración pública necesitaría de mayores recursos para la efectiva fiscalización de su cumplimiento. Creemos que es posible contar con una regulación sencilla de cumplir y que no pierda de vista la efectiva protección de los derechos individuales.

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales por Oscar Montezuma y Miguel Morachimo [PDF]

También

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales presentados por el Estudio Iriarte & Asociados [PDF]

El Perú, la privacidad, los mercados y la ley

Si usted se encuentra vinculado a alguna empresa de servicios públicos, de telemarketing, entidad financiera o de salud, call center o quizás algún negocio virtual esta nota seguramente será de su interés. El año pasado el Perú aprobó la Ley General de Protección de Datos Personales que básicamente postula que ninguna entidad pública o privada podrá utilizar información personal de ningún ciudadano sin su autorización “previa, informada, expresa e inequívoca”. Sin duda una iniciativa positiva que contribuye a un fin mayor: prevenir el uso de dicha información para actividades delictivas.

Recientemente el Ministerio de Justicia publicó el Proyecto de Reglamento de la citada ley. Entre otras cosas se precisa en detalle cómo deberá ser la autorización  antes mencionada, las medidas de seguridad que deberán tener las bases de datos, el plazo de adecuación para bases de datos existentes, las obligaciones de registro de bases de datos en un registro público nacional, la transferencia internacional de datos personales y el régimen de sanciones y multas, que alcanzan las 100 UIT. Incluso el proyecto se aventura a regular el tratamiento de datos por servicios de comunicaciones electrónicas y cloud computing.

Los 132 artículos del Proyecto revelan una clara vocación reglamentarista y merecen una lectura detenida a fin de salvaguardar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado. El plazo para presentar comentarios ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vence el próximo jueves 12 de abril.

¿Dónde están las leyes en el Perú?: hablemos del SPIJ

El caso de la Ley sobre el Derecho de Autor no es un caso aislado. Cualquier estudiante o profesional del derecho en el Perú sabe que la única forma de acceder al texto vigente de una Ley es a través de Sistema Peruano de Información Jurídica (SPIJ) –declarado como Edición Oficial del Ministerio de Justicia por Decreto Supremo– o alguna de las bases de datos privadas y de pago como Gaceta Jurídica. La tasa (sí, es un tributo vinculado y ha sido fijada legalmente) por acceder al SPIJ le cuesta a un ciudadano común y corriente 1,019.52 soles (cerca de 355 dólares) por año. Es decir, una pequeña empresa o un estudiante de derecho necesita al año el equivalente a dos veces una remuneración mínima vital para poder acceder al texto vigente de las normas legales peruanas. Digo que es la única manera porque las páginas web del Estado no las tienen actualizadas y porque no me puedo fiar de la diligencia quien haya publicado alguna en la web. Recientemente, “gracias” a un Convenio con los Colegios de Abogados de Lima, los abogados colegiados en Lima y al día en sus pagos pueden acceder a una tarifa promocional de 118 soles o 256 soles, según las condiciones.

Para quienes tienen la suerte de nunca haberlo sufrido, el famoso SPIJ no es más que una base de datos a manera de un gran documento de texto con hipervínculos que solo puede ser leído a través de un software propietario (FolioViews), que solo existe para Windows obviamente. Su indexación deja mucho qué desear, sus métodos de búsqueda no son sensibles y entiende como bases de datos separadas las leyes de caracter nacional, las resoluciones administrativas y los tratados. Para colmo, se actualiza cada varios meses sin una constancia predecible. En su versión web, la más actualizada y accesible solo para suscriptores, el SPIJ es un base de datos con una interfaz estéticamente atrapada en los ochentas (ver foto), con constantes errores y que solo corre bien en Internet Explorer 6. Esa es la única manera confiable que tenemos de acceder a las leyes en el Perú en pleno 2010.

Esta no es una pataleta porque queremos tener un sistema más bonito, como el que tienen ArgentinaChileBrasil (donde es el servicio es gratuito y de calidad). Se trata de demostrar que el estado actual de la publicación de las normas legales en el Perú no respeta los derechos de acceso a la justicia y acceso a la información pública. El costo de acceder a la base de datos oficial está fuera del alcance de los ciudadanos y porque, peor aún, ni las propias instituciones del Estado se ha preocupado por colgar en sus páginas web versiones actualizadas de las leyes.

Si el Estado quiere continuar ofreciendo su producto de pago SPIJ a nuevos suscriptores, perfecto. Ese es problema de sus competidores y de cómo entiendan el principio de subsidiariedad del Estado en las actividades económicas, según el cual si existen privados concurriendo en ofrecer ese servicio en libre competencia el Estado no tendría por qué ofrecerlo también. Lo que debería existir es una plataforma de acceso gratuito, en línea y actualizada, a las normas legales de carácter general publicadas. Algo como el Archivo Digital de Leyes del Congreso, pero con un mejor motor de búsqueda, sin aspavientos, con búsqueda simple y avanzada, donde los resultados aparezcan en formatos de estándar abiertos (.txt, .rtf, .pdf) y se actualice diariamente. Implementarla no puede ser tan caro.

Más sobre el tema:
Transparencia en portales del Estado para dummies
Acceso a fuentes legales y el modelo Google

La ley peruana de protección de datos personales (reloaded)

Fuente: JOURNALMEX Periodistas de México

Anteriormente escribimos un artículo sobre el tema en Enfoque Derecho (publicación de  THEMIS-Revista de Derecho). También tocamos el tema en esta tribuna. En dicho artículo de agosto del 2008 reportábamos, a propósito de una de las reuniones preparatorias de APEC en Lima, lo siguiente:

«el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí,  pronto verá la luz ya que  actualmente se encuentra en el despacho del Consejo de Ministros«.

También advertimos lo siguiente:

«Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿cómo nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos ”datos personales” y “jr. wilson” confirman nuestra afirmación

[…]

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco,  dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación)».

En nuestra opinión, las conclusiones hasta este punto eran dos:

  1. Había un proyecto de ley de protección de datos personales promovido por el Ministerio de Justicia dando vueltas desde el año 2004 por diversas entidades públicas y como papel llevado por el viento habría aterrizado en el escritorio de la PCM en el 2008.
  2. Teniendo un marco normativo antispam y de regulación del telemarketing no contabamos con una norma general de protección de datos personales, más allá de su protección a nivel sectorial.

La actualización a todo lo antes expuesto la recibimos hoy y es que luego de casi dos años de la nota publicada tenemos noticias certeras del citado proyecto de ley. En efecto, el proyecto de ley del Ministerio de Justicia habría sido el punto de partida para el nuevo (y repotenciado por una comitiva multisectorial) proyecto de ley aprobado en sesión de hoy por la Presidencia del Consejo de Ministros. El siguiente paso sería el debate en el Congreso de la República donde todos estamos llamados a participar con aportes que incluso lo perfeccionen.

Acá viene el segundo tema: ¿es necesaria una ley de protección de datos personales?¿es más necesaria aún en la Sociedad de la Información?

  1. Sobre la primera pregunta creemos que si. Una ley de protección de datos personales  no sólo puede ser útil para combatir a los «ladrones» de datos personales sino además como complemento para el desarrollo del comercio y otras iniciativas interesantes como la notificación electrónica y los expedientes digitales  (ver acá y acá artículos interesantes planteando la necesidad de una regulación sobre el tema y los beneficios que de ella pueden obtenerse). Es necesario que nuestro país cuente con un marco normativo integral (y no sólo sectorial) que otorgue protección a sus ciudadanos sobre su información personal y nos alínee con la tendencia internacional sobre la materia (Sin ir muy lejos México aprobó recientemente su norma de protección de datos personales).
  2. Sobre la segunda interrogante, no queda duda que la era informática permite con mayor facilidad el acopio, gestión y explotación de los datos personales. Para no aburrirlos con el ejemplo de Wilson y las bases de datos, pongamos uno más reciente: Facebook. Hemos oido hasta el cansancio sobre todos los problemas de privacidad generados por Facebook y sus cambiantes políticas internas (ver esta, esta y esta nota de ElComercio y este interesante análisis de Nestor Gallo sobre la privacidad en tiempos de Facebook). El ejemplo parece hablar por si sólo.

En el contexto planteado, dos preguntas que me atrevo a formular son: ¿cómo debe ser entonces nuestra ley de protección de datos personales? Como hemos señalado anteriormente existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. No conocemos el nuevo proyecto de ley pero el propuesto inicialmente por el Ministerio de Justicia se adhería al modelo europeo.

Intentando responder a la pregunta planteada consideramos que la ley propuesta debería ser una de mínimos. Una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. En contraposición la inexistencia de regulación o la existencia de una demasiado flexible puede no generar el efecto de tutela deseado. En ese sentido consideramos que es muy importante lograr un equilibrio. Para ello es necesario que en la discusión del proyecto de ley actual se recojan las impresiones de los agentes a los que se les aplicará así como los titulares de datos personales. Finalmente es muy importante que el análisis costo-beneficio del proyecto de ley se encuentre debidamente sustentado a efectos que sea una norma que se pueda cumplir y sobre todo fiscalizar. Estaremos a la espera de la revisión del nuevo proyecto de ley para dar mayores comentarios al respecto. Por ahora, que empiece el debate.

Fuente de la imágen:  JOURNALMEX Periodistas de México