El derecho a la autodeterminación informativa le garantiza a una persona el control sobre toda información sensible que exista sobre sí misma
CONSULTA:
Lorenzo Ramos considera que su derecho a la intimidad está siendo vulnerado por una empresa privada en la que laboró durante 5 años. Sostiene que la información personal referida a las enfermedades que padece, y que fue almacenada por la empresa, ha sido puesta a disposición de otras empresas del mismo rubro. Añade que, pese a que ha solicitado la entrega de esta información y de que esta no sea difundida, la entidad privada ha denegado el pedido alegando que no se trata de información pública sino que es de su propiedad por lo que puede disponer de ella. Al respecto, nos pregunta por el mecanismo procesal que puede ser utilizado para protegerse frente al acto lesivo descrito.
RESPUESTA
La facultad para disponer de la información que le concierne a uno respecto de su vida personal, que no es de carácter público, a fin de actualizarla, suprimirla o modificarla, y que se encuentre almacenada en un banco de datos de cualquier entidad pública o privada, está garantizada por el derecho a la autodeterminación informativa o a la protección de datos personales, conforme al numeral 6 del artículo 2, de la Constitución, al numeral 2 del artículo 61 del Código Procesal Constitucional, la Ley de Protección de Datos Personales y su Reglamento; recibiendo protección a nivel de jurisdicción constitucional, a través del proceso de hábeas data.
FUNDAMENTACIÓN:
El numeral 6 del artículo 2 de la Constitución reconoce el derecho de toda persona “a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”. Este derecho ha sido reconocido como el derecho a la autodeterminación informativa en la jurisprudencia constitucional.
El contenido de este derecho ha sido complementado con lo dispuesto por el numeral 2 del artículo 61 del Código Procesal Constitucional, que estableció la procedencia del hábeas data con el fin de “conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros. Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales”.
Pues bien, para delimitar el contenido, se debe conocer lo desarrollado por el Tribunal Constitucional en la sentencia recaída en el Exp. N° 04739-2007-PHD/TC (fundamentos jurídicos 2 al 4) en la que ha señalado que este derecho le garantiza a la persona una serie de facultades “para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos”, a fin de decidir las medidas a adoptarse para evitar el mal uso de dicha información por terceros. Se reserva para el titular el derecho a decidir sobre la difusión o suministro de datos cuya circulación autoriza; de este modo, puede solicitar la exclusión de datos considerados personales o sensibles4. Así, pese a que este derecho está íntimamente vinculado con la vida íntima, pues la información que protege está referida a esta; ello no significa que se identifique con el derecho a la intimidad, personal o familiar.
Igualmente, el control que una persona ejerce sobre la información que le concierne, no se agota en la exclusión de cierta información, o en la oposición a que determinada información sea difundida, sino que también le preserva el derecho de acceder a ella, independientemente del lugar en donde se encuentra almacenada. El acceso a la información que le es propia –que incluye el obtener una copia de esta– le permitirá usarla para los fines que le corresponde. Este es el caso, por ejemplo, de las historias clínicas que no pueden ser difundidas, salvo autorización del paciente, y que pueden ser empleadas por este para los objetivos que decida, sea que se trate de un centro de salud privado o público.
Por su parte, la Ley de Protección de Datos Personales, en sus artículos 18, 19, 20, 21, 22 y 23, establece y regula una serie de derechos del titular de la información: a) derecho de información del titular de datos personales; b) derecho de acceso del titular de datos personales; c) derecho de actualización, inclusión, rectificación y supresión; d) derecho de impedir suministro; e) derecho de oposición; f) derecho de tratamiento objetivo, entre otros.
De otro lado, cabe destacar que la entidad, privada o pública, que almacena datos personales y que los difunde debe respetar los mencionados derechos, pero además el principio de finalidad y proporcionalidad, previstos en los artículos 6 y 7 de la referida ley. Mediante el principio de finalidad se garantiza que los datos recopilados cumplan una finalidad determinada, explícita y lícita. Con relación a este, el principio de proporcionalidad establece que entre los datos recopilados y la finalidad establecida para el almacenamiento, debe darse una relación justificada, de modo que el tratamiento que se dé a los datos personales sea adecuado, relevante y no excesivo.
En relación con el caso planteado en la consulta, se puede advertir que la entidad que almacena la información es una privada que está obligada a garantizar el derecho a la protección de datos personales. Por lo tanto, no puede excusarse en su condición de persona jurídica privada para impedir el acceso de información que le concierne a un extrabajador. Si la empresa decide almacenar y difundir información relacionada con los trabajadores y extrabajadores, esta debería estar sujeta a la necesidad de difundir información sobre las cualidades laborales de los extrabajadores. Sin embargo, al haber almacenado y difundido información sobre el estado de salud, dando cuenta de la enfermedad que padece Lorenzo, se configura un tratamiento desproporcional a la finalidad con la que se almacenó la información personal de Lorenzo.
Por lo demás resulta evidente que difundir información sobre el estado de salud de una persona afecta la intimidad de esta, con lo cual queda acreditada la relación que existe entre este derecho y la autodeterminación informativa. Sin embargo, lo que debe protegerse en este caso es el derecho a la autodeterminación informativa y no el derecho a la intimidad de manera aislada.
En ese sentido, tras haberse advertido que la entidad privada ha hecho un mal uso de los datos de Lorenzo que había almacenado cuando ostentaba la condición de trabajador, este tiene el derecho de realizar el respectivo control sobre dicha información y solicitar no solo su acceso (requiriendo además que se le suministre una copia), sino también su supresión e impedir su suministro. Sin embargo, la entidad ha impedido al titular hacer ejercicio de estos derechos, por lo que podrá iniciar las acciones necesarias para el restablecimiento de sus derechos.
El artículo 24 de la ley señala que en el supuesto en que no se garanticen los derechos mencionados, el titular puede iniciar las acciones legales correspondientes, entre las que se encuentra el inicio del procedimiento administrativo conforme con la Ley de Procedimiento Administrativo General. En este caso, correspondería el inicio de un proceso de hábeas data, pues una entidad particular, como la empresa empleadora de Lorenzo, no está sujeta a la antes mencionada Ley del Procedimiento Administrativo General.
En resumen, se ha identificada y verificado la afectación del derecho a la autodeterminación informativa por haberse almacenado y difundido información relacionada con su intimidad personal al dar cuenta de la enfermedad que padece, y porque no se le ha permitido acceder a esta, pudiendo iniciar un proceso de hábeas data y lograr que se deje de difundir esta información sensible y que se ponga a disponibilidad de Lorenzo.
Base legal
• Constitución Política: art. 2, numeral 6.
• Código Procesal Constitucional: arts. 61 al 65.
• Ley de protección de datos personales, Ley N° 29733 (08/07/2011)
• Reglamento de la Ley de protección de datos personales, Decreto Supremo N° 003-2013-JUS (22/03/2013).
___________________________
4 Este criterio también fue adoptado por la sentencia recaída en el Exp. N° 00693-2012- PHD/TC, fundamentos jurídicos 5 y 6.