Alejandro Morales Cáceres

Abogado Asociado en el Estudio Torres y Torres Lara

11 de Junio del 2017

¿Cuál es el impacto jurídico que tiene el uso de redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales?

El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales. Para ello es necesario entender que una red social es una plataforma online que permite a los usuarios (quienes pueden ser personas naturales o jurídicas) generar un perfil en el que pueden compartir datos personales e información de uno mismo o de terceros, así como interactuar de forma espontánea con otros usuarios a fin de comunicarse y compartir intereses comunes. Entre las redes sociales más utilizadas encontramos a Facebook, YouTube, WhatsApp, Twitter, Instagram, LinkedIn, Snapchat, entre otras.

Asimismo, en una red social se puede acceder, compartir, consultar, reproducir la información que se encuentra en los perfiles de sus usuarios, así como la que brindan estos durante su interacción en la red social, como pueden ser hábitos, fotografías, videos, entre otros. Por lo tanto, es innegable señalar que, en una red social, se produce lo que se conoce como tratamiento de datos personales[1].

En ese sentido, cabe preguntarnos si en el Perú todas aquellas personas que tratan datos personales a través de las redes sociales se encuentran en el ámbito de aplicación de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, “LPDP”). Al respecto, de conformidad con el artículo 3° de la LPDP, no estarán sometidas a la ley aquellas personas que traten datos personales en la medida que este uso tenga una finalidad exclusivamente doméstica.

Por tanto, si una persona natural o jurídica, en calidad de usuario de una red social, crea su propio perfil con fines comerciales, empresariales o políticos, y en ese contexto realiza tratamiento de datos personales, ya no se tratará de un uso doméstico o familiar. Es por ello que estos usuarios se convertirán en responsables del tratamiento, lo cual los obliga a cumplir con la Ley de Protección de Datos Personales.

En tales circunstancias, el usuario necesitará el consentimiento de los titulares de los datos personales para poder tratar su información. Por ejemplo, es común que muchas empresas suban fotos de sus trabajadores o clientes a su página de Facebook al realizar un evento de la compañía. En estos casos, se necesitará de una autorización por parte de ellos para que la empresa pueda utilizar sus imágenes. Si bien no existe jurisprudencia en el Perú respecto a este caso en particular, podemos ver que la Dirección General de Datos Personales ha sancionado a varios colegios por haber subido a su página web las fotos de sus alumnos sin el consentimiento de sus padres o sus tutores. Por consiguiente, podemos señalar que cualquier persona natural o jurídica con un perfil comercial podrá ser sancionada por las mismas razones y criterios: tratar datos personales sin el consentimiento de su titular.

Por otro lado, estos usuarios con perfiles comerciales deben respetar los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), por lo que deben ofrecer al público un medio para poder ejercerlos. La página inicial, en ese sentido, debería hacer referencia a la existencia de  un lugar en donde se puedan gestionar los problemas relativos a la protección de datos.

Del mismo modo, si se suben datos personales a las redes sociales cuyos servidores se encuentran fuera del territorio peruano, se producirá lo que la Ley denomina “Flujo transfronterizo de datos personales”, esto es, la transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que éstos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban. En este caso, el titular del banco de datos o el responsable del tratamiento deberá poner en conocimiento, la realización de flujo transfronterizo a la Dirección General de Protección de Datos Personales, en virtud de lo dispuesto por el artículo 34° del Reglamento de la Ley de Protección de Datos Personales, tal como se hace cuando los datos personales se guardan en los servicios de “Cloud Computing”.

Por otro lado, cabe preguntarse: ¿qué sucede con los empresarios que acceden a las redes sociales y comercializan información de los miembros de éstas?  Muchos tienen la creencia generalizada que la información contenida en las redes sociales es una fuente accesible para el público. De ser cierta esta afirmación, esta práctica se encontraría dentro de los límites al consentimiento del titular de datos personales, tal como lo señala el numeral 2 del artículo 14° de la LPDP, puesto que textualmente señala que:

No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: 

(…)

  1. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público”.

 

Sin embargo, la enumeración dada por el artículo 17° del Reglamento[2] no incluye ni enumera, expresamente al Internet ni cualquier herramienta o recurso de Internet. Nuestra legislación se ha basado en el ordenamiento jurídico español y la Agencia de Protección de Datos Personales (órgano encargado de interpretar la ley de protección de datos personales española) ha afirmado en la Resolución 00574/2005–AEPD, que dentro del concepto de “fuentes accesibles para el público” no se desprende que las páginas web puedan ser considerados como fuentes accesibles al público a efectos de la Ley Orgánica de Protección de Datos. En consecuencia, la utilización de los datos de carácter personal que figuran en las redes sociales necesitaría para su tratamiento el consentimiento previo de los titulares, no pudiendo considerarse fuentes de acceso al público.

Este sería al parecer el criterio que le ha dado la Autoridad Nacional de Protección de Datos Personales, puesto que en el Oficio N° 135-2014-IGPNP/EM en el que absuelve una consulta señala que “debe recordarse que la información cuya configuración es pública en la red social, continúa perteneciendo a la esfera de la privacidad del usuario, conforme con lo señalado en los numerales 4 y 5 del artículo 2 de la LPDP y numerales 4 y 6 del artículo 2 del Reglamento, por lo que su tratamiento debe hacerse de acuerdo con la legislación de la materia, más allá de que el acceso esté autorizado”.

No obstante, el ordenamiento jurídico peruano es obscuro respecto a este tema, puesto que también podría interpretarse que una red social es un medio de comunicación electrónico y, por tanto, se encuentra dentro del concepto de “fuentes de acceso al público”. En este caso, consideramos que no se podría tratar la información de forma indiscriminada, puesto que la Resolución Directoral N° 006-2016-JUS/DGPDP sostiene que el artículo 14° de la LPDP tan solo posibilita al interesado conocer el contenido de la información sin solicitar el consentimiento del titular de los datos personales (en atención a la naturaleza de la fuente) mas no a realizar un tratamiento más allá de su recopilación.

Es necesario precisar que el tratamiento de datos de fuentes accesibles al público debe tomar en cuenta el principio de finalidad, por lo que el tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

De acuerdo a REVOREDO[3], por este principio, los datos solo pueden ser utilizados para aquellas finalidades que el titular del banco de datos informó al titular de los mismos antes de recogerlos. Cualquier uso para una finalidad distinta constituye un tratamiento indebido y por lo tanto sujeto a la posibilidad de una sanción. Es decir, el hecho que un dato se encuentre en una fuente de acceso público no quiere decir que pueden ser usadas para cualquier efecto pues dichos datos fueron entregados a la red social únicamente para la finalidad descrita por ella al momento en que el usuario decidió abrir su cuenta y otorgó su consentimiento al tratamiento de sus datos.

Finalmente, el artículo 2 del Reglamento de PDP señala expresamente que “el tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento”. En otros términos, no podremos recogerlos para crear una nueva base de datos y, menos aún, para una finalidad distinta.

A modo de conclusión, podemos señalar que tanto las personas naturales o jurídicas que sean titulares de un perfil comercial en una red social deberán regirse por la normativa de protección de datos personales en el Perú, teniendo en cuenta que para tratar información de carácter personal deberán contar con el consentimiento expreso de sus titulares, ofrecer al público una instrucción para que puedan ofrecer sus derechos ARCO y comunicar a la Autoridad Nacional de Protección de Datos Personales, la realización de flujo transfronterizo en la medida que el servidor que contiene la red social se encuentre fuera de territorio nacional. Finalmente, las personas no podrán comercializar los datos personales de personas naturales que estén contenidos en redes sociales, sin el consentimiento de sus titulares.

 

Notas del Autor

 

[1]     Artículo 2° de la Ley de Protección de Datos Personales:

Tratamiento de datos personales.- Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

[2]  Artículo 17° del Reglamento de la Ley de Protección de Datos Personales: “Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes:

  1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general.
  2. Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
  3. Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
  4. Los medios de comunicación social.
  5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo.

En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional.

  1. Los repertorios de jurisprudencia, debidamente anonimizados.
  2. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos – SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley.
  3. Las entidades de la Administración Pública, en relación a la información que deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.

Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible. La evaluación del acceso a datos personales en posesión de entidades de administración pública se hará atendiendo a las circunstancias de cada caso concreto.

El tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento.

 

[3] REVOREDO, Abel (13 de febrero de 2017). Redes Sociales y Privacidad. Recuperado de: http://revoredo.pe/2017/02/redes-sociales-y-privacidad/

Comentarios

MÁS DE ESTE AUTOR

¿Puede mi empleador revisar mis correos y mis navegaciones por Internet?

Son muchos los casos en los que las computadoras del trabajo, el correo corporativo, la conexión a internet de la oficina, el Whatsapp del...

Nuevas Tendencias en Protección de Datos Personales

El pasado jueves 06 de diciembre se publicó en España la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos...

Medidas de Protección de Datos Personales aplicado a los Chatbot

Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de...

El “Marketing Mix” en el mercado legal

Para Philip Kotler “el marketing es un proceso social y administrativo mediante el cual grupos e individuos obtienen lo que necesitan y desean a...

Redes Sociales y Paternidad

Hace no mucho tiempo atrás era común que los padres de familia mostraran las imágenes de sus hijos a través de fotografías o videos a sus...

El nuevo Reglamento General de Protección de Datos de la Unión Europea

El nuevo Reglamento General de Protección de Datos (RGPD) busca garantizar estándares de protección de datos personales elevados y adaptados a...

Caso Facebook: ¿Cómo tratan nuestros datos personales?

El pasado 10 de abril, el Congreso de los Estados Unidos interrogó a Mark Zuckerberg por la filtración masiva de datos personales a la empresa...

¿Los difuntos tienen derecho a la protección de datos personales?

El 19 de febrero del presente año, el reconocido periodista deportivo Daniel Peredo Mechola falleció a causa de un paro cardíaco. Este evento...

Preguntas y respuestas sobre el Comité de Seguridad y Salud en el Trabajo

Autora: Claudia Seminario Gómez

Todo empleador debe contar con un Sistema de Gestión de la Seguridad y Salud en el Trabajo, de modo que...

¿Se deben regular las criptomonedas en el Perú?

Desde la creación del Bitcoin en el año 2009, las criptomonedas no han dejado de crecer y han surgido multitud de monedas...

La regulación de la Inteligencia Artificial

Hace 75 años el escritor Iscaac Asimov formuló en su relato “El círculo vicioso” las “Tres Leyes de la Robótica”, las cuales tienen la...

¿Qué es el “Blockchain” y por qué es importante que un abogado esté al tanto?

En el año 2009, Satoshi Nakamoto creó el Bitcoin, una criptodivisa que tiene como “back end” al “Blockchain” o “cadena de bloques”,...

El Big Data y sus implicancias legales en la Protección de Datos Personales

No cabe duda de que nos encontramos en pleno auge de la era de la información, ya que desde el inicio de la civilización hasta el 2013, se...

Sobre la Metodología para Determinar Caudales Ecológicos y el impacto en las inversiones

Autora: Cinthya Escate Asociada del Estudio Lazo, de Romaña & CMB Abogados

A mediados de junio del año pasado, la Autoridad Nacional del Agua...

¿Cuál es el impacto jurídico que tiene el uso de redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales?

El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo...

El Abogado de hoy y su llamado a la protección del medioambiente

Autor:

Juan Diego Mujica Filippi

Hace 43 años, el 5 de junio de 1974, la Asamblea General de las Naciones Unidas decidió que a partir de...

Sociedades de Beneficio: un nuevo paradigma en el Derecho Empresarial

Autor: 

Juan Diego Mujica Filippi

En la actualidad, el Derecho Empresarial es testigo del surgimiento de un fenómeno societario reciente,...

La indispensable especialización de los inspectores de trabajo

Autora: Claudia Seminario Gómez

La seguridad y salud en el trabajo no es un tema nuevo pero, indiscutiblemente, ha tomado fuerza en los últimos...

Los emprendimientos de interés social bajo el Derecho peruano: ¿cómo estructurar una empresa social en el Perú?

Autor: 

Paolo Robilliard D’Onofrio

En el Perú viene despertando poco a poco el interés por migrar de un esquema de apoyo social basado en la...

Fiscalización Laboral - Deber de Vigilancia: ¿Cajón de sastre para la imposición de multas?

Autora: Claudia Seminario Gómez

Todo aquel que ha visto de cerca una inspección laboral a cargo de la SUNAFIL, que involucra a una empresa...

Aportes Societarios en la Era Digital: ¿Se puede aportar “Bitcoins” a una Sociedad Anónima?

Imagínense que un grupo de accionistas en una Sociedad Anónima decidan incrementar su capital aportando “Bitcoins”. ¿Esto es legalmente...

El abuso de derecho en el Derecho Societario Peruano

Montesquieu alguna vez dijo: “La libertad es el derecho a hacer lo que las leyes permiten. Si un ciudadano tuviera derecho a hacer lo que éstas...

El Decreto Legislativo N° 1272 y cómo "optimizar" el Procedimiento Sancionador

Autor: Ernesto Soto

El Decreto Legislativo N° 1272 modificó la Ley N° 27444, Ley del Procedimiento Administrativo General, para “optimizar la...

Los problemas de agencia y las soluciones legales

En el ámbito económico, se habla de una relación principal-agente cuando un individuo (el Principal) encarga a un segundo (el Agente) la...

Una acertada aplicación del principio de indivisibilidad por parte del SENACE

Autor: Juan Manuel Pazos

Durante el presente año, el Servicio Nacional de Certificación Ambiental para las Inversiones Sostenibles (SENACE)...

Justicia: Las dos caras de Jano

Autor: Nelson Ramírez Jiménez  Abogado por la Universidad Federico Villareal 

El Dios Jano posee dos caras debido a su capacidad para abrir o...

El silencio de los insolventes y el “período de sospecha”: ¿Qué riesgos se asumen al contratar con quien podría estar a puertas de un procedimiento concursal?

Autor:

Paolo Robilliard D’Onofrio

Existe un riesgo obvio al contratar con quien es o podría estar próximo a ser insolvente, y es que esa...

Los nuevos vientos en la comercialización de Microseguros en el Perú

Autor: Gianfranco Iparraguirre

En el mercado de seguros existen una variedad de productos destinados a cubrir riesgos que, de sucederse, podrían...

¿NOS ASEGURAMOS LOS PERUANOS ANTE NUESTROS PRINCIPALES TEMORES?

Autor: Gianfranco Iparraguirre

Hace unos días revisaba una presentación, en el sitio web de la Superintendencia de Banca, Seguros y AFP (

“La ley es la ley”: ¿Puede corregirse un acuerdo mal adoptado por una persona jurídica, sin sufrir las consecuencias del error?

Autor: 

Paolo Robilliard D’onofrio

Los cuestionamientos que actualmente se vienen haciendo a ciertos partidos políticos, por presuntamente no...

¿Subsidiaria o Sucursal? Una mirada más allá de la responsabilidad limitada

Autor: 

Paolo Robilliard D’Onofrio

Cuando, desde una perspectiva de negocios, llega el momento de que un grupo empresarial extranjero establezca...

La Necesidad de Dinamizar el Proceso de Otorgamiento de Derechos Petroleros.

Autores:

Giancarlo Guardia y Susana Ramos

La industria petrolera está en crisis. La producción petrolera en nuestro país ha descendido de...