Alejandro Morales Cáceres

Abogado Asociado en el Estudio Torres y Torres Lara

19 de Julio del 2019

El Contexto como Factor Determinante en la Categorización de los Datos Personales

El 18 de agosto de 2015, un equipo de hackers denominado “Impact Team” publicó nombres, apellidos, edad, dirección de domicilio, correos electrónicos de los 39 millones del sitio web Ashley Madison, cuyo slogan es “la vida es corta, ten una infidelidad”.  Cabe señalar que, este sitio web gestiona y promueve el adulterio, facilitando citas a personas con parejas. Este caso sin duda muestra lo vulnerable que es la privacidad en la era digital. También demuestra cómo es que datos personales de carácter general, en un determinado contexto, pueden afectar profundamente a la intimidad de las personas. En ese sentido, cabe preguntarse si estos datos pueden considerarse como “datos sensibles”.

La Ley N° 29733 (en adelante, “Ley de Protección de Datos Personales”), en su artículo 2° señala que un dato personal es toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. Su reglamento, complementa la definición agregando que, un dato personal es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados. Con respecto a las categorías de datos que actualmente se contemplan en la normativa de protección de datos, se diferencian dos grandes bloques; por una parte, los datos de carácter general y por otra, los datos sensibles.

Los datos de carácter general son aquella información que permite identificar a un individuo, tales como el nombre, apellido, documento de identidad, identificación tributaria, número de teléfono, correo electrónico, edad, nacionalidad, ocupación, fecha de nacimiento y domicilio. El elemento fundamental para determinar si se trata de un dato personal es que la información, por sí misma o combinada, permita identificar a una persona concreta, bien por estar directamente identificada a través de un dato en particular, o bien porque esa información lo hace identificable, pues esa persona podrá ser identificada por otro medio.  Por ejemplo, por sí solo, un cargo en una empresa no siempre será considerado como dato personal porque pueden existir muchas personas que ocupen la misma posición en la misma. Sin embargo, cuando el cargo se combina con otra información (como un correo electrónico, un número de teléfono, sexo y edad), por lo general, será suficiente para identificar claramente a una persona.

El legislador ha brindado una definición muy amplia, pues hace referencia a “cualquier información”, lo cual es positivo dado que esta amplitud terminológica permite que este concepto trascienda en el tiempo. En ese sentido, los datos personales de carácter general no son una lista cerrada – numerus clausus – de supuestos en los que considera que nos encontraremos ante un dato personal. Asimismo, este concepto es lo suficientemente amplio como para acoger los distintos tipos de datos que en función de su conexión con una persona natural pueden considerarse datos de carácter personal. Por lo tanto, no se establecen límites al concepto de dato personal en función de su forma, manifestación o soporte.

Por otro lado, la normativa referida a la protección de datos personales establece que los datos sensibles son objeto de una especial protección. El artículo 2° de la Ley de Protección de Datos Personales las define como “datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”.

Si bien a primera vista podría considerarse que esta categoría es un numerus clausus,  el Reglamento[1] deja en claro que no lo es, pues señala que se considerará como dato sensible cualquier información análoga que afecte la intimidad del titular de datos personales. Por tanto, se considerará como dato sensible a toda información cuyo tratamiento tenga la capacidad de impactar la intimidad, así como los derechos fundamentales de su titular. Es por esta razón, que son datos que están especialmente protegidos, pues se refieren a la esfera más íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste.

Existen casos en que un mismo tratamiento de datos generales en una situación distinta puede tener un impacto profundo en la esfera más privada de las personas. Por ejemplo, los nombres, apellidos, edad, correo electrónico almacenados en un banco de datos personales de un cine o una empresa de alimentos tiene un matiz distinto al de aquellos almacenados en una página pornográfica. No es lo mismo que se filtren datos generales de los usuarios de una página de e-commerce a que suceda lo mismo con los afiliados de un determinado partido político o de una congregación religiosa.  Saber quiénes consumen Panadol (Paracetamol) es distinto de saber quiénes son los que consumen Viagra (Sildenafilo), a pesar de que se registren los mismos datos al momento de la compra.

¿Qué es aquello que convierte a los datos generales en datos sensibles? El contexto, pues de éste se puede inferir información que permita identificar los deseos o miedos más íntimos de una persona. La filtración de los nombres de los usuarios de Ashley Madison es un ejemplo de esto, pues esta fuga de datos generales trajo secuelas muy importantes, ya que muchos de ellos se divorciaron e incluso se suicidaron, al ver que su identidad se asociaba con el adulterio y la infidelidad.

En tal sentido, el riesgo del tratamiento de datos personales no depende, necesariamente, del contenido de los datos, sino del contexto en el que éstos se utilizan. Los titulares de bancos de datos personales deberán analizar el contexto a fin de ver si el tratamiento efectuado puede conllevar a una violación al derecho fundamental a la intimidad o a la vulneración de otros derechos y libertades individuales.

Por otro lado, la combinación de datos generales también puede conllevar a revelar aspectos íntimos de una persona. La imagen de una persona es considerada como un dato de carácter general. Sin embargo, una fotografía puede revelar información sensible. A modo de ejemplo, una fotografía de un alumno con una medalla en el cuello, acompañado de su nombre, apellido, grado y sección en la página web de su colegio puede conllevar a que se infiera la siguiente información del estudiante: Nombre, apellido, edad, hobbies o aficiones personales, horario de entrada y salida del colegio, nivel socioeconómico. Y esto es sólo con una fotografía. ¿Qué sucede con toda la información que una escuela recopila respecto de sus alumnos? Sin duda alguna, el conjunto de todos estos datos que son generales analizados como un todo pueden ser considerados como información sensible, pues su tratamiento es información que inevitablemente afecta a la intimidad del titular de datos personales. En otras palabras, la combinación de estos datos crea un contexto determinado que vuelve sensible a la información de carácter general.

A modo de conclusión, el contexto es la clave para determinar si un dato es general o sensible. Por tanto, la combinación de datos personales de carácter general crea un determinado contexto que permite inferir información que podrá ser de carácter sensible. Asimismo, los datos generales podrán ser considerados sensibles dependiendo del lugar y situación en el que se traten. Tomando en consideración lo antes dicho, las empresas deberán realizar una evaluación de impacto de la privacidad (Private Impact Assesment) pues esta es una herramienta que fue incorporada en el Reglamento General de Protección de Datos Personales de la Unión Europea que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos, a fin de identificar los riesgos que se ciernen sobre los datos de los interesados y establecer las salvaguardas necesarias para reducirlos.

______________________________________________________________

[1]      “Artículo 2.- Definiciones. Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:

       (…)

  1. Datos sensibles: Es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad”.

Comentarios

MÁS DE ESTE AUTOR

El Contexto como Factor Determinante en la Categorización de los Datos Personales

El 18 de agosto de 2015, un equipo de hackers denominado “Impact Team” publicó nombres, apellidos, edad, dirección de domicilio, correos...

“Las Direcciones IP: ¿Se pueden considerar como Dato Personal?”

Las direcciones IP son uno de los elementos más comunes que se pueden encontrar en Internet. Todas las páginas web que se visiten, cualquier...

¿Se deberían regular las OTTs en Perú?

Las posibilidades de miles de millones de personas conectadas por dispositivos móviles, con una facilidad sin precedentes de acceso a la...

LA OBEDIENCIA DEL DERECHO: Un impostergable reto de la ciencia del derecho y algunas reflexiones a propósito de la obra del profesor Tom Tyler

Introducción

Desde mediados del siglo pasado, han sido muchos quienes han optado por cursar sus estudios de postgrado en Derecho en los Estados...

Adhesión del Perú al Convenio de Budapest: ¿Por qué es importante?

El Internet ha logrado que las fronteras nacionales desaparezcan. Así, como podemos comprar “online” ropa en China, guardar nuestros...

Los “Influencer”: Aspectos legales a tener en cuenta

Hace algunos días me quedé conversando con uno de mis mejores amigos, Stefano Schiantarelli, quien es dueño de “¾ Burger Bar” y “Alinea...

¿Puede mi empleador revisar mis correos y mis navegaciones por Internet?

Son muchos los casos en los que las computadoras del trabajo, el correo corporativo, la conexión a internet de la oficina, el Whatsapp del...

Nuevas Tendencias en Protección de Datos Personales

El pasado jueves 06 de diciembre se publicó en España la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos...

Medidas de Protección de Datos Personales aplicado a los Chatbot

Un Chatbot es un software de inteligencia artificial con el que es posible mantener una conversación, tanto si queremos pedirle algún tipo de...

El “Marketing Mix” en el mercado legal

Para Philip Kotler “el marketing es un proceso social y administrativo mediante el cual grupos e individuos obtienen lo que necesitan y desean a...

Redes Sociales y Paternidad

Hace no mucho tiempo atrás era común que los padres de familia mostraran las imágenes de sus hijos a través de fotografías o videos a sus...

El nuevo Reglamento General de Protección de Datos de la Unión Europea

El nuevo Reglamento General de Protección de Datos (RGPD) busca garantizar estándares de protección de datos personales elevados y adaptados a...

Caso Facebook: ¿Cómo tratan nuestros datos personales?

El pasado 10 de abril, el Congreso de los Estados Unidos interrogó a Mark Zuckerberg por la filtración masiva de datos personales a la empresa...

¿Los difuntos tienen derecho a la protección de datos personales?

El 19 de febrero del presente año, el reconocido periodista deportivo Daniel Peredo Mechola falleció a causa de un paro cardíaco. Este evento...

Preguntas y respuestas sobre el Comité de Seguridad y Salud en el Trabajo

Autora: Claudia Seminario Gómez

Todo empleador debe contar con un Sistema de Gestión de la Seguridad y Salud en el Trabajo, de modo que...

¿Se deben regular las criptomonedas en el Perú?

Desde la creación del Bitcoin en el año 2009, las criptomonedas no han dejado de crecer y han surgido multitud de monedas...

La regulación de la Inteligencia Artificial

Hace 75 años el escritor Iscaac Asimov formuló en su relato “El círculo vicioso” las “Tres Leyes de la Robótica”, las cuales tienen la...

¿Qué es el “Blockchain” y por qué es importante que un abogado esté al tanto?

En el año 2009, Satoshi Nakamoto creó el Bitcoin, una criptodivisa que tiene como “back end” al “Blockchain” o “cadena de bloques”,...

El Big Data y sus implicancias legales en la Protección de Datos Personales

No cabe duda de que nos encontramos en pleno auge de la era de la información, ya que desde el inicio de la civilización hasta el 2013, se...

Sobre la Metodología para Determinar Caudales Ecológicos y el impacto en las inversiones

Autora: Cinthya Escate Asociada del Estudio Lazo, de Romaña & CMB Abogados

A mediados de junio del año pasado, la Autoridad Nacional del Agua...

¿Cuál es el impacto jurídico que tiene el uso de redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales?

El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo...

El Abogado de hoy y su llamado a la protección del medioambiente

Autor:

Juan Diego Mujica Filippi

Hace 43 años, el 5 de junio de 1974, la Asamblea General de las Naciones Unidas decidió que a partir de...

Sociedades de Beneficio: un nuevo paradigma en el Derecho Empresarial

Autor: 

Juan Diego Mujica Filippi

En la actualidad, el Derecho Empresarial es testigo del surgimiento de un fenómeno societario reciente,...

La indispensable especialización de los inspectores de trabajo

Autora: Claudia Seminario Gómez

La seguridad y salud en el trabajo no es un tema nuevo pero, indiscutiblemente, ha tomado fuerza en los últimos...

Los emprendimientos de interés social bajo el Derecho peruano: ¿cómo estructurar una empresa social en el Perú?

Autor: 

Paolo Robilliard D’Onofrio

En el Perú viene despertando poco a poco el interés por migrar de un esquema de apoyo social basado en la...

Fiscalización Laboral - Deber de Vigilancia: ¿Cajón de sastre para la imposición de multas?

Autora: Claudia Seminario Gómez

Todo aquel que ha visto de cerca una inspección laboral a cargo de la SUNAFIL, que involucra a una empresa...

Aportes Societarios en la Era Digital: ¿Se puede aportar “Bitcoins” a una Sociedad Anónima?

Imagínense que un grupo de accionistas en una Sociedad Anónima decidan incrementar su capital aportando “Bitcoins”. ¿Esto es legalmente...

El abuso de derecho en el Derecho Societario Peruano

Montesquieu alguna vez dijo: “La libertad es el derecho a hacer lo que las leyes permiten. Si un ciudadano tuviera derecho a hacer lo que éstas...

El Decreto Legislativo N° 1272 y cómo "optimizar" el Procedimiento Sancionador

Autor: Ernesto Soto

El Decreto Legislativo N° 1272 modificó la Ley N° 27444, Ley del Procedimiento Administrativo General, para “optimizar la...

Los problemas de agencia y las soluciones legales

En el ámbito económico, se habla de una relación principal-agente cuando un individuo (el Principal) encarga a un segundo (el Agente) la...

Una acertada aplicación del principio de indivisibilidad por parte del SENACE

Autor: Juan Manuel Pazos

Durante el presente año, el Servicio Nacional de Certificación Ambiental para las Inversiones Sostenibles (SENACE)...

Justicia: Las dos caras de Jano

Autor: Nelson Ramírez Jiménez  Abogado por la Universidad Federico Villareal 

El Dios Jano posee dos caras debido a su capacidad para abrir o...

El silencio de los insolventes y el “período de sospecha”: ¿Qué riesgos se asumen al contratar con quien podría estar a puertas de un procedimiento concursal?

Autor:

Paolo Robilliard D’Onofrio

Existe un riesgo obvio al contratar con quien es o podría estar próximo a ser insolvente, y es que esa...

Los nuevos vientos en la comercialización de Microseguros en el Perú

Autor: Gianfranco Iparraguirre

En el mercado de seguros existen una variedad de productos destinados a cubrir riesgos que, de sucederse, podrían...

¿NOS ASEGURAMOS LOS PERUANOS ANTE NUESTROS PRINCIPALES TEMORES?

Autor: Gianfranco Iparraguirre

Hace unos días revisaba una presentación, en el sitio web de la Superintendencia de Banca, Seguros y AFP (

“La ley es la ley”: ¿Puede corregirse un acuerdo mal adoptado por una persona jurídica, sin sufrir las consecuencias del error?

Autor: 

Paolo Robilliard D’onofrio

Los cuestionamientos que actualmente se vienen haciendo a ciertos partidos políticos, por presuntamente no...

¿Subsidiaria o Sucursal? Una mirada más allá de la responsabilidad limitada

Autor: 

Paolo Robilliard D’Onofrio

Cuando, desde una perspectiva de negocios, llega el momento de que un grupo empresarial extranjero establezca...

La Necesidad de Dinamizar el Proceso de Otorgamiento de Derechos Petroleros.

Autores:

Giancarlo Guardia y Susana Ramos

La industria petrolera está en crisis. La producción petrolera en nuestro país ha descendido de...