Desde 2006, todos los 28 de enero se celebra el Día Internacional de la Protección de Datos Personales, debido a que en 1981 se firmó el Convenio del Consejo de Europa para la protección de las personas respecto al tratamiento automatizado de datos de carácter personal. Fue el primero que incluyó aspectos a tomar en consideración, para garantizar el respeto a la protección de datos personales de toda persona. A pesar de que Perú no se ha adherido, otros países de Latinoamérica, tales como Argentina, Uruguay y México sí lo han hecho [1].
Este día busca concientizar e informar a toda entidad pública o privada, organismos internacionales y toda la población en general respecto de la importancia de la protección de la privacidad e información personal, dando a conocer sus derechos y obligaciones en este ámbito.
Importancia de la Protección de los Datos Personales
La Sentencia del Tribunal Constitucional peruano emitida bajo el Expediente N°1797-2002-HD/TC, cuando desarrolla el derecho a la autodeterminación informativa (protección de datos personales), determina que es un derecho subjetivo que tiene la característica de ser, prima facie y de modo general, un derecho de naturaleza “relacional”, considerando que, en la gran mayoría de casos, se vincula a la protección de otros derechos fundamentales. Entonces, dado el carácter relacional de este derecho, la afectación del mismo muy probablemente conllevará a afectar otro derecho fundamental de las personas.
La normativa define a los datos personales como aquella información de una persona natural que la identifica o hace identificable a través de medios utilizados razonablemente. Como subcategoría de datos personales que está sujeta a un nivel mayor de protección están los “datos sensibles”, aquellos datos biométricos que por sí mismos pueden identificar al titular (e.g.: datos sobre el origen racial y étnico, ingresos económicos, entre otras).
En ese sentido, la responsabilidad legal respecto del tratamiento [2] de datos personales recae sobre el titular [3] del banco de datos personales [4], siendo el titular de esos datos personales el sujeto de protección normativa y los derechos derivados de tal protección.
Depende de cada jurisdicción o marco normativo nacional o supranacional [5] el contenido de las referidas responsabilidades, protección y derechos.
No obstante, podemos identificar los siguientes principios rectores de la protección de datos personales:
- Para su tratamiento debe mediar consentimiento libre, expreso, inequívoco e informado de su titular.
- El tratamiento no puede ir más allá de la finalidad establecida explícita e inequívocamente al momento de la recopilación, la cual debe ser además lícita [6].
- El tratamiento debe ser adecuado, relevante y no excesivo para la finalidad respecto de la cual fueron recopilados.
- Los datos tratados deben ser veraces, exactos y, de ser posible, actualizados, necesarios, pertinentes y adecuados para la finalidad que fueron recopilados.
- El titular del banco de datos debe garantizar la seguridad de los datos personales, adoptando medidas acordes con el tratamiento a efectuar y la categoría de datos.
El titular de los datos personales debe tener vías administrativas y jurisdiccionales necesarias para reclamar y hacer valer sus derechos “ARCO”: Acceso [7], Rectificación [8], Cancelación [9] y Oposición [10].
que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
Asimismo, el numeral 3) del artículo 200 de la Constitución dispone como garantía constitucional la Acción del Hábeas Data, que procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnere o amenace el derecho a la protección de los datos personales.
El numeral 2) del artículo 61 de la Ley N°28237, Código Procesal Constitucional, establece que la Acción de Hábeas Data es la vía constitucional por el que toda persona puede hacer valer su derecho a conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros. También tienen derecho a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales.
El Tribunal Constitucional en su Sentencia N°04739-2007-PHD/TC reconoció este derecho: “(…) derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal. Mediante la autodeterminación informativa se busca proteger a la persona en sí misma, no únicamente en los derechos que conciernen a su esfera personalísima, sino a la persona en la totalidad de ámbitos.”
La Ley N° 29733, Ley de Protección de Datos Personales, promulgada en 2011 y modificada por el DL N°1353. Además, en 2013 se promulgó el DS N°003-2013-JUS, Reglamento de la Ley N°29733 y fue modificado por DS N°019-2017-JUS. Estos cuerpos normativos dan origen a la protección de los datos personales a través de la vía administrativa.
El DS N°013-2017-JUS, Reglamento de organización y funciones del Ministerio de Justicia y Derechos Humanos, define y delimita facultades, funciones y atribuciones de los órganos que conforman el referido Ministerio. Así, la protección de datos personales está comprendida dentro de su ámbito de competencia, a través de la Autoridad Nacional de Protección de Datos Personales (la “ANPDP”).
Datos personales y las Nuevas Tecnologías de la Información y Comunicaciones (TICs)
El desarrollo de las nuevas TICs guarda estrecha relación con los datos personales, considerando que, a través de aquellas, se alcanza mayor interrelación entre personas y negocios. Por tanto, es fundamental que: (i)la normativa sea adaptable y fije estándares mínimos; y, (ii)el ecosistema sea consciente de la importancia de proteger los datos personales. Así, al desarrollar medios tecnológicos que permitan tratamiento de datos personales, no se debe descuidar su protección, amparados jurídicamente en el Perú.
En el ámbito laboral, los empleadores utilizan cada vez más medios tecnológicos (GPS en vehículos, cámaras de videovigilancia), en virtud de su facultad fiscalizadora respecto de las labores de sus empleados. No obstante, dichas medidas deben respetar la normativa de protección de datos personales. Si bien, conforme al artículo 14 de la Ley de Protección de Datos Personales, no se requiere consentimiento de los empleados para que el empleador trate esos datos personales, sí es indispensable que: (i)estén debidamente informados; (ii)el mecanismo utilizado sea el menos lesivo; y, (iii)sean utilizados únicamente en horario laboral. El ejercicio de la referida facultad e implementación del medio tecnológico tienen como límite adicional el artículo 23 de la Constitución Política del Perú, que establece que ninguna relación laboral puede limitar el ejercicio de los derechos constitucionales, ni desconocer o rebajar la dignidad del trabajador.
Actuación de la ANPDP
Por Nota de Prensa [11] emitida este mes, la ANPDP informó que, durante 2020, fiscalizó 305 entidades, emitió más de 100 resoluciones e impuso multas por más de S/3’500,000. Asimismo, indicó que se aplicaron sanciones a entidades de diversos sectores, entre ellos, financiero, telecomunicaciones, incluso una red social.
Como consecuencia de la pandemia que estamos atravesando, las entidades y empresas han recolectado datos personales a través de plataformas digitales en una mayor escala y, por tanto, incrementó el riesgo para la protección de datos personales. La actuación de la ANPDP se adecuó de manera tal que sus actividades de fiscalización y supervisión alcancen los objetivos planteados.
[1] Países adheridos al Convenio: .
[2] Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, consulta, utilización, bloqueo o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
[3] Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.
[4] Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
[5] Cfr. A nivel europeo, el Reglamento General de Protección de Datos (RGPD) entró en aplicación el 25 de mayo de 2018, luego de un plazo de adecuación normativa de dos (2) años. Cualquier empresa de la Unión Europea, o aquellas empresas que tengan negocios en la misma, que manejen información personal de cualquier tipo, deberán acogerse al RGPD.
[6] Se excluyen los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
[7] Derecho a obtener información que es materia de tratamiento, forma de recopilación, finalidad y a solicitud de quién se realizó la recopilación, así como las transferencias hechas o por realizar.
[8] Derecho a modificar un banco de datos personales para actualizarlo o para rectificar su contenido con datos exactos.
[9] Derecho a solicitar supresión o cancelación de su información en un banco de datos cuando ya no sea necesaria o pertinente para la finalidad original, vencido el plazo para su tratamiento, o revocado su consentimiento.
[10] Derecho a decidir que no se traten datos personales o se cese el mismo cuando no otorgó su consentimiento para su recopilación. Asimismo, cuando acredite que existen motivos fundados y legítimos sobre una situación personal específica que lo justifique.
[11] Enlace a la Nota de Prensa de la ANPDP: .
Imagen extraída de: https://www.esan.edu.pe/apuntes-empresariales/2019/04/los-modelos-para-la-privacidad-y-proteccion-de-datos-personales-en-peru/.
