Si bien la dación de Ley de Protección de Datos Personales y la creación de una Autoridad Nacional significan un avance cualitativo en la materia, para el autor existen algunos tópicos por mejorar en la norma. Por ejemplo, aunque solo se prevea a las personas naturales como titulares de protección de datos, deberá interpretarse, de conformidad con la norma fundamental, que lo regulado en la Ley Nº 29733 es también perfectamente aplicable a las personas jurídicas. Finalmente nos brinda alcances sobre los antecedentes normativos en la materia y las funciones de la Autoridad Nacional en este nuevo contexto.

SUMARIO

I. Antecedentes. II. Las circunstancias de la nueva ley y la Autoridad Nacional. Conclusión.

I. ANTECEDENTES

La Ley de Protección de Datos Personales peruana, Ley Nº 29733, ha sido publicada el 3 de julio del presente año. Entrará plenamente en vigencia a los treinta (30) días hábiles, contados a partir de la publicación del reglamento; entre tanto están ya vigentes el Título II, referido al tratamiento de datos personales: alcances sobre el tratamiento, limitaciones al consentimiento para el tratamiento de datos personales, flujo transfronterizo de datos personales, seguridad del tratamiento y confidencialidad de datos personales; asimismo, el primer párrafo del artículo 32 que establece que la Dirección Nacional de Justicia es la Autoridad Nacional de Protección de Datos Personales, y las siguientes disposiciones complementarias finales:

Primera Disposición, que dispone la constitución de una Comisión Multisectorial encargada de elaborar el proyecto de reglamento.

Segunda Disposición, que dispone que la Autoridad Nacional de Protección de Datos Personales elaborará la directiva de seguridad de la información administrada por los Bancos de Datos Personales.

Tercera Disposición, referida a la adecuación de documentos de gestión y del Texto Único de Procedimientos Administrativos del Ministerio de Justicia.

Cuarta Disposición, que dispone la adecuación normativa (leyes y normas de rango inferior) a lo dispuesto por la Ley de Protección de Datos Personales.

Novena Disposición, que señala que lo dispuesto en la Ley no se debe interpretar en detrimento de las facultades de la administración tributaria respecto de la información que obre y requiera para sus registros, o para el cumplimiento de sus funciones.

Finalmente, la Décima Disposición referida a que la realización de las acciones necesarias para la aplicación de la Ley se ejecuta con cargo al presupuesto institucional del pliego Ministerio de Justicia y de los recursos a los que hace referencia el artículo 36, sin demandar recursos adicionales al Tesoro Público.

Esto podría llevar a pensar que estamos frente a una regulación absolutamente novedosa; sin embargo, esto no es completamente así. Si bien la dación de la norma y la creación de una autoridad nacional significan un avance cualitativo y ciertamente están fijando un antes y un después en materia de protección de datos personales, que se manifiesta, hasta ahora, por numerosos eventos académicos y por la movilización de sectores involucrados en torno a la elaboración del reglamento, es oportuno advertir que nuestro sistema jurídico tenía ya normas, no solo vinculadas con la materia, sino también específicas y del más alto rango.

En efecto, la Constitución Política del Estado, vigente desde 1993, establece en el inciso 6 del artículo 2, que toda persona tiene derecho: “A que los servicios informáticos, computarizados o no, públicos o privados no suministren informaciones que afecten la intimidad personal y familiar” de forma que, aun sin autoridad administrativa y sin legislación propia, la protección de los datos personales ha existido, con rango constitucional y separada de la protección de los derechos vinculados a la privacidad o intimidad desde 1993; y ha estado, además, acompañada de la correspondiente acción de garantía, a través del hábeas data que conforme al artículo 200, de la propia Constitución “procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2, incisos 5 y 6 de la Constitución”.

Esta figura se legisló, se interpretó y se desarrolló, principalmente, como herramienta de acceso a la información y así puede apreciarse del contenido de la Ley Nº 26301, Ley de hábeas data, de mayo de 1994, pero es con la entrada en vigencia del Código Procesal Constitucional en diciembre de 2004, que reguló de forma unificada el hábeas corpus, el amparo, la acción de cumplimiento, la acción popular, la acción de inconstitucionalidad y el hábeas data, que esta última se describe como una acción de garantía en protección del derecho de “acceso” a la información que incluye los derechos a conocer, actualizar, incluir, suprimir o rectificar información o datos personales.

La vinculación de la Constitución y el Código Procesal Constitucional peruano con la Ley de Protección de Datos Personales genera algunos puntos de encuentro que sin duda darán trabajo a quienes estamos encargados de llevar adelante la legislación y la Autoridad Nacional. Uno de ellos viene dado por el artículo 62 del código, que, al regular los requisitos de la demanda de hábeas data, dispone como único paso previo a la demanda judicial que el afectado curse una solicitud requiriendo el respeto de sus derechos y que tal solicitud sea denegada o ignorada. Se trata del único requisito previo, puesto que la misma norma establece que el procedimiento administrativo establecido en la Ley no constituye vía previa para el proceso constitucional. Aun cuando todo parece claro no cabe duda que esta materia, al elaborar el reglamento de la Ley, pondrá en debate el tema de la vía previa administrativa e incluso el de la existencia de una vía procedimental igualmente satisfactoria que tendrá que abordarse y regularse, en función de que el hábeas data encuentre un lugar, compatible y armonizado con las funciones de la Autoridad Nacional de Protección de Datos Personales.

Otro tema que deberá abordarse, sin duda, es el que se vincula con la protección de los datos de personas jurídicas. Adviértase que por un lado el numeral 14 del artículo 2 de la Ley de Protección de Datos Personales describe al titular de datos personales como la persona natural a quien corresponde los datos personales y uno podría pensar que el tema está zanjado, en el sentido de quedar excluidas las personas jurídicas; sin embargo, la Constitución reconoce en su artículo 2 una lista de derechos, entre los que está el referido a la protección de datos, sin distinguir si corresponden a personas naturales o jurídicas y se tiene como valor entendido que la única distinción aceptable es la que se fundamenta en la naturaleza de ciertos derechos que solo pueden atribuirse a personas naturales, de forma que aquellos que puedan recaer en personas jurídicas están reconocidos y vigentes. Evidentemente, no hace falta mucho esfuerzo para comprender que la protección de datos personales es perfectamente aplicable a las personas jurídicas, basta recordar que en otras legislaciones está expresamente reconocida y que, en general, todos los días personas jurídicas plantean acciones de garantía, incluido el hábeas data, en defensa de sus derechos constitucionales. No perdemos de vista que este tema podría exceder los márgenes del desarrollo reglamentario de una ley que parece haber tomado posición, sin embargo nos queda claro que, en primer lugar, la ley no puede servir de vía para restringir derechos constitucionales y, en segundo lugar, que no tendría sentido excluir a las personas jurídicas de la protección que brindará la autoridad nacional obligándolas a buscar como único camino el hábeas data, del que no están ni estarán excluidas. Es claro, entonces, de que el tema no puede considerarse agotado.

Otro antecedente relevante lo encontramos en la Ley Nº 27489, denominada: Ley que regula las centrales privadas de información de riesgo y de protección al titular de la información, vigente desde julio de 2001. Esta norma, en relación a su objeto, expresamente señala que:

a) Garantiza el respeto de los derechos de los titulares.

b) Promueve la veracidad.

c) Promueve la confidencialidad y,

d) Promueve el uso apropiado de la información.

Señala, además, que la información que las Centrales Privadas de información de riesgo pueden recoger y tratar, está vinculada a:

a) Obligaciones.

b) Antecedentes financieros.

c) Antecedentes comerciales.

d) Antecedentes tributarios.

e) Antecedentes laborales y,

f) Antecedentes de seguros.

Marcando con claridad que la finalidad de tal información es evaluar la solvencia económica vinculada a la capacidad y trayectoria de endeudamiento y pago.

También excluye de la información que puede estar en los bancos de datos de las centrales de información de riesgos, la información sensible, definiéndola como las “características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, hábitos personales, ideologías, opiniones políticas, creencias o convicciones religiosas, salud física o psíquica, vida sexual u otras análogas que afecten su intimidad”, y admite que la información se pueda recolectar de fuentes públicas o privadas sin necesidad de contar con autorización del titular, y que la transmisión puede hacerse por acuerdos con terceros o directamente de los titulares, debiendo informarles el destino que le darán. Establece con claridad, que la información será recabada solo por las vías lícitas, únicamente para la finalidad que la ley autoriza y regula el derecho de acceso, rectificación y cancelación de la información.

La Agencia de Control de las Centrales Privadas de Información de Riesgo es el Instituto de Defensa de la Competencia y la Propiedad Intelectual –Indecopi– a través del área de Defensa del Consumidor y de acuerdo con la Sétima Disposición Complementaria Final de la Ley de Protección de Datos Personales la materia correspondiente a Defensa del Consumidor se mantendrá bajo su competencia, mientras que los aspectos relativos a la protección de datos quedarán en competencia de la Autoridad Nacional de Protección de Datos Personales. Evidentemente el Reglamento de la Ley deberá delinear los márgenes de esta división de competencias.

Adicionalmente, la naturaleza y finalidad de la información tratada por las centrales de información de riesgos pone en la mesa el tema de la naturaleza y actividad de los destinatarios de la información, es decir, de los clientes de las centrales de información de riesgos, para establecer si corresponde o no regular quiénes y para qué pueden acceder la información que tratan aquellas, porque, a este momento, en el Perú, el acceso a la información no está limitado, es decir, cualquier persona que pueda pagarla puede solicitarla y, de hecho, lo están haciendo para otras finalidades, como, por ejemplo, las evaluaciones con ocasión de procesos de reclutamiento de personal. De esta forma, la información negativa en materia crediticia o comercial puede significar que una persona salga del mercado laboral. Un ejemplo claro ha sido público cuando un joven profesional fue objeto de un reportaje televisivo porque estaba ofreciendo en venta parte de su hígado o uno de sus riñones, ya que, como consecuencia de tener registrada una deuda que no pudo pagar, le resultaba imposible conseguir empleo. Al margen de si la oferta “comercial” de órganos se considere legalmente viable o no, el ejemplo pone en debate el respeto a la finalidad por la que se obtienen los datos en materia de historial crediticio y algo se tendrá que hacer al respecto.

Otra norma vinculada es la Ley Nº 28493, conocida como Ley anti Spam o ley que regula el uso del correo electrónico comercial no solicitado, vigente desde julio de 2005. En ella se regula el envío de comunicaciones comerciales, publicitarias o promocionales no solicitadas, por correo electrónico y otorga a los destinatarios el derecho a:

a) Rechazar o no la recepción de los correos.

b) Revocar la autorización de recepción (salvo si es condición para la provisión del servicio de correo) y,

c) Que el proveedor cuente con sistemas de filtro de correos no solicitados.

Además obliga al proveedor a colocar:

a) La palabra publicidad, en el rubro asunto.

b) Su nombre o denominación.

c) Su domicilio y correo electrónico.

d) Un correo real y activo para que se pueda contestar solicitando su no inclusión.

Este tema también está bajo la autoridad de Indecopi a través del área de Protección al Consumidor y habrá que estudiar y definir si corresponde que se mantenga en una norma especial o debe incluirse en la esfera de la Protección de Datos Personales.

IMAGEN 1

II. LAS CIRCUNSTANCIAS DE LA NUEVA LEY Y LA AUTORIDAD NACIONAL

No consideramos que sea el momento ni el espacio para comentar el detalle de la norma, pero si para exponer sus circunstancias y en esa línea es importante comentar que se trata de una ley que fue promulgada en el último mes de la administración anterior, es decir, el mes de la transferencia de gobierno, luego de haberse trabajado en un círculo muy cerrado.

La nueva administración encontró este tema asignado a la Dirección Nacional de Justicia, de forma que el Director Nacional de Justicia es también Jefe de la Autoridad Nacional de Protección de Datos Personales. Cabe entonces, hacer un somero esbozo de las tareas de la Dirección Nacional de Justicia, no para otra cosa que para exponer “las circunstancias de la nueva ley”.

La Dirección Nacional de Justicia, se ocupa de regular, acreditar, supervisar y fiscalizar a Conciliadores y Centros de Conciliación, a nivel nacional, además de prestar el servicio de centros de conciliación, gratuitos en todo el país, presta el servicio de arbitraje popular de mínima cuantía, conduce las relaciones con la administración de justicia, incluyendo los procesos de extradición y traslado de condenados, conduce las relaciones con la Iglesia Católica y con las otras confesiones, dirige el Servicio de Graduandos en Derecho –Secigra– que es un sistema de prácticas pre profesionales en entidades públicas, a nivel nacional. Efectúa la Acreditación de Municipalidades que brindan el servicio de divorcio municipal. El Director Nacional preside la Comisión Oficial de Extradiciones, la de Procesos Administrativos Disciplinarios del Ministerio de Justicia, la Especial de Reforma Procesal en Materia Civil y de Familia e integra las comisiones de Tratados sobre Cooperación Judicial Internacional y la de Tratamiento Migratorio.

Al asumir el cargo, los últimos días de agosto, se encontró que, en materia de Protección de Datos Personales, había que implementar el funcionamiento de la Autoridad Nacional desde lo básico, como designación de personal, obtención de información general, bibliografía o derecho comparado. No puedo dejar de mencionar que nuestra ley, dispone que debemos desarrollar las actividades que nos asigna sin generar nuevos gastos al Estado, es decir con el presupuesto ordinario del Ministerio de Justicia.

La primera tarea en cumplimento de la ley era instalar una Comisión Multisectorial encargada de elaborar el proyecto de Reglamento, de forma que se gestionó la acreditación de los representantes de las entidades conformantes de la Comisión y se efectuó la convocatoria para su instalación. El 14 de setiembre de 2011, la comisión quedó instalada con el presidente y el vicepresidente representando al Ministerio de Justicia y un representante de cada una de las siguientes entidades:

• La Oficina Nacional de Gobierno Electrónico e Informática (Ongei) de la Presidencia del Consejo de Ministros.

• El Ministerio de Transportes y Comunicaciones.

• El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi).

• El Registro Nacional de Identificación y Estado Civil,

• El Ministerio de Comercio Exterior y Turismo, y,

• El Ministerio de Salud.

Esta Comisión ha aprobado la conformación de una Comisión Consultiva Ad Honorem, conformada por expertos en diversas disciplinas, vinculadas con la Protección de Datos Personales, que podrá ser convocada a las reuniones de trabajo de la Comisión Multisectorial, para prestar su asesoría, en las materias de su especialidad y en los términos en que fuera requerida por la Comisión.

Adicionalmente se ha aprobado la conformación de una Comisión Ampliada que reunirá a la Comisión Multisectorial, la Comisión Consultiva y personas o entidades representativas a quienes se hizo una convocatoria pública para que soliciten acreditación. Como respuesta han solicitado participar, además de algunas firmas de abogados, entidades como:

• La Dirección General de Políticas de Desarrollo Social del Ministerio de la Mujer y Desarrollo, encargada de los programas de asistencia social,

• Cámara de Comercio Americana del Perú - Am Cham Perú.

• Telefónica del Perú S.A.A.

• Sony Perú S.R.L., subsidiaria de Sony Corporación en Perú.

• La Gerencia de Asuntos Gubernamentales e Industriales para Latino América de NOKIA.

• Compañía Acredita S.A.C. Data Crédito.

• Asociación de Bancos del Perú - Asbanc.

• Cámara de Comercio de Lima.

• Asociación Nacional de Defensa del Consumidor.

• Equifax Perú S.A.

• Y representantes de empresas de publicidad y marketing.

La Comisión Multisectorial y la Comisión Consultiva han tenido ya diversas jornadas de trabajo con expertos extranjeros. Se han recibido a:

- Hugh Stevenson, Director Adjunto de la Oficina de Asuntos Internacionales de la Comisión Federal de Comercio de los Estados Unidos de América y,

- Joshua Harris, Director Asociado de la Oficina de Tecnología y Comercio Electrónico del Departamento de Comercio de los Estados Unidos de América, quienes han expuesto sobre la experiencia del sistema de protección de la privacidad en los Estados Unidos de América.

- Se obtuvo también, la presencia del Dr. Jesús Rubí, Adjunto del Director de la Agencia Española de Protección de Datos Personales quien aportó su notable experiencia con miras al proceso de implementación de la Autoridad Nacional y a la aplicación de las normas de Protección de Datos Personales.

- Y en las últimas semanas, hemos tenido por dos días la presencia del profesor Oscar Puccinelli, magistrado y experto argentino que nos ha proporcionado la experiencia de un país sudamericano, que cuenta con la decisión de adecuación a los niveles de garantía de protección de la Comunidad Europea.

En la misma línea de trabajo, la representación peruana a México, espera poder tener una estancia de trabajo en la Agencia Española y participar en el evento previsto en Filipinas el 1 de diciembre, experiencias todas que, sin duda, serán de gran provecho para la elaboración del reglamento en particular y para la construcción de la Autoridad Nacional en general.

Las tareas inmediatas que la ley encarga a la Autoridad Nacional

1. La formulación y aprobación del Reglamento de la Ley en el plazo de 120 días hábiles, contados a partir de la instalación de la Comisión Multisectorial, que vence el 7 de marzo de 2012, proviene de un mandato de la Disposición Complementaria Final Primera de la Ley.

2. La formulación y aprobación de la Directiva de Seguridad de la información administrada por los bancos de datos personales, proviene de la Disposición Complementaria Final Segunda de la Ley.

3. La adecuación de documentos de gestión y del Texto Único de Procedimientos Administrativos del Ministerio de Justicia, proviene de la Disposición Complementaria Final Tercera de la Ley.

4. La Adecuación normativa general del sistema jurídico, que proviene de la Disposición Complementaria Final Cuarta de la Ley.

5. La recepción, archivo y organización de las declaraciones de existencia de Bancos de Datos Personales que proviene del artículo 29 y la Disposición Complementaria Final Quinta de la Ley.

6. Las coordinaciones con la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros, para que brinde apoyo y asesoramiento técnico a la Autoridad Nacional de Protección de Datos Personales en el cumplimiento de sus funciones.

CONCLUSIÓN

La Autoridad Nacional Peruana ha nacido con los buenos antecedentes que hemos comentado, en las circunstancias complicadas que nos hemos atrevido a compartir y debe asumir las tareas específicas –no menores– que hemos enumerado, en adición a las que de suyo acompañan a un emprendimiento como el de poner en marcha todo un nuevo sistema de protección de datos personales, al servicio de la sociedad peruana. En ese esfuerzo estamos y esperamos contar con el apoyo de las instituciones aquí representadas.

(*) Ponencia elaborada con motivo de la celebración del evento denominado “Current Developments in Privacy Frameworks: Towards Global Interoperability”, en el cual el autor fue expositor y panelista en el tema “Privacy Developments in Latin América”, el 1 de noviembre de 2011. El evento fue organizado por la OCDE (Organisation for Economic Co-operation and Development) y la Secretaría de Economía de México.

(**) Jefe de la Autoridad Nacional de Protección de Datos Personales. Director Nacional de Justicia del Ministerio de Justicia.