El auge de la tecnología y la globalización ha llevado a preguntarnos cuál es el impacto jurídico que tiene el uso de las redes sociales en lo que respecta al ámbito del derecho a la protección de datos personales. Para ello es necesario entender que una red social es una plataforma online que permite a los usuarios (quienes pueden ser personas naturales o jurídicas) generar un perfil en el que pueden compartir datos personales e información de uno mismo o de terceros, así como interactuar de forma espontánea con otros usuarios a fin de comunicarse y compartir intereses comunes. Entre las redes sociales más utilizadas encontramos a Facebook, YouTube, WhatsApp, Twitter, Instagram, LinkedIn, Snapchat, entre otras.
Asimismo, en una red social se puede acceder, compartir, consultar, reproducir la información que se encuentra en los perfiles de sus usuarios, así como la que brindan estos durante su interacción en la red social, como pueden ser hábitos, fotografías, videos, entre otros. Por lo tanto, es innegable señalar que, en una red social, se produce lo que se conoce como tratamiento de datos personales[1].
En ese sentido, cabe preguntarnos si en el Perú todas aquellas personas que tratan datos personales a través de las redes sociales se encuentran en el ámbito de aplicación de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, “LPDP”). Al respecto, de conformidad con el artículo 3° de la LPDP, no estarán sometidas a la ley aquellas personas que traten datos personales en la medida que este uso tenga una finalidad exclusivamente doméstica.
Por tanto, si una persona natural o jurídica, en calidad de usuario de una red social, crea su propio perfil con fines comerciales, empresariales o políticos, y en ese contexto realiza tratamiento de datos personales, ya no se tratará de un uso doméstico o familiar. Es por ello que estos usuarios se convertirán en responsables del tratamiento, lo cual los obliga a cumplir con la Ley de Protección de Datos Personales.
En tales circunstancias, el usuario necesitará el consentimiento de los titulares de los datos personales para poder tratar su información. Por ejemplo, es común que muchas empresas suban fotos de sus trabajadores o clientes a su página de Facebook al realizar un evento de la compañía. En estos casos, se necesitará de una autorización por parte de ellos para que la empresa pueda utilizar sus imágenes. Si bien no existe jurisprudencia en el Perú respecto a este caso en particular, podemos ver que la Dirección General de Datos Personales ha sancionado a varios colegios por haber subido a su página web las fotos de sus alumnos sin el consentimiento de sus padres o sus tutores. Por consiguiente, podemos señalar que cualquier persona natural o jurídica con un perfil comercial podrá ser sancionada por las mismas razones y criterios: tratar datos personales sin el consentimiento de su titular.
Por otro lado, estos usuarios con perfiles comerciales deben respetar los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), por lo que deben ofrecer al público un medio para poder ejercerlos. La página inicial, en ese sentido, debería hacer referencia a la existencia de un lugar en donde se puedan gestionar los problemas relativos a la protección de datos.
Del mismo modo, si se suben datos personales a las redes sociales cuyos servidores se encuentran fuera del territorio peruano, se producirá lo que la Ley denomina “Flujo transfronterizo de datos personales”, esto es, la transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que éstos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban. En este caso, el titular del banco de datos o el responsable del tratamiento deberá poner en conocimiento, la realización de flujo transfronterizo a la Dirección General de Protección de Datos Personales, en virtud de lo dispuesto por el artículo 34° del Reglamento de la Ley de Protección de Datos Personales, tal como se hace cuando los datos personales se guardan en los servicios de “Cloud Computing”.
Por otro lado, cabe preguntarse: ¿qué sucede con los empresarios que acceden a las redes sociales y comercializan información de los miembros de éstas? Muchos tienen la creencia generalizada que la información contenida en las redes sociales es una fuente accesible para el público. De ser cierta esta afirmación, esta práctica se encontraría dentro de los límites al consentimiento del titular de datos personales, tal como lo señala el numeral 2 del artículo 14° de la LPDP, puesto que textualmente señala que:
“No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público”.
Sin embargo, la enumeración dada por el artículo 17° del Reglamento[2] no incluye ni enumera, expresamente al Internet ni cualquier herramienta o recurso de Internet. Nuestra legislación se ha basado en el ordenamiento jurídico español y la Agencia de Protección de Datos Personales (órgano encargado de interpretar la ley de protección de datos personales española) ha afirmado en la Resolución 00574/2005–AEPD, que dentro del concepto de “fuentes accesibles para el público” no se desprende que las páginas web puedan ser considerados como fuentes accesibles al público a efectos de la Ley Orgánica de Protección de Datos. En consecuencia, la utilización de los datos de carácter personal que figuran en las redes sociales necesitaría para su tratamiento el consentimiento previo de los titulares, no pudiendo considerarse fuentes de acceso al público.
Este sería al parecer el criterio que le ha dado la Autoridad Nacional de Protección de Datos Personales, puesto que en el Oficio N° 135-2014-IGPNP/EM en el que absuelve una consulta señala que “debe recordarse que la información cuya configuración es pública en la red social, continúa perteneciendo a la esfera de la privacidad del usuario, conforme con lo señalado en los numerales 4 y 5 del artículo 2 de la LPDP y numerales 4 y 6 del artículo 2 del Reglamento, por lo que su tratamiento debe hacerse de acuerdo con la legislación de la materia, más allá de que el acceso esté autorizado”.
No obstante, el ordenamiento jurídico peruano es obscuro respecto a este tema, puesto que también podría interpretarse que una red social es un medio de comunicación electrónico y, por tanto, se encuentra dentro del concepto de “fuentes de acceso al público”. En este caso, consideramos que no se podría tratar la información de forma indiscriminada, puesto que la Resolución Directoral N° 006-2016-JUS/DGPDP sostiene que el artículo 14° de la LPDP tan solo posibilita al interesado conocer el contenido de la información sin solicitar el consentimiento del titular de los datos personales (en atención a la naturaleza de la fuente) mas no a realizar un tratamiento más allá de su recopilación.
Es necesario precisar que el tratamiento de datos de fuentes accesibles al público debe tomar en cuenta el principio de finalidad, por lo que el tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
De acuerdo a REVOREDO[3], por este principio, los datos solo pueden ser utilizados para aquellas finalidades que el titular del banco de datos informó al titular de los mismos antes de recogerlos. Cualquier uso para una finalidad distinta constituye un tratamiento indebido y por lo tanto sujeto a la posibilidad de una sanción. Es decir, el hecho que un dato se encuentre en una fuente de acceso público no quiere decir que pueden ser usadas para cualquier efecto pues dichos datos fueron entregados a la red social únicamente para la finalidad descrita por ella al momento en que el usuario decidió abrir su cuenta y otorgó su consentimiento al tratamiento de sus datos.
Finalmente, el artículo 2 del Reglamento de PDP señala expresamente que “el tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento”. En otros términos, no podremos recogerlos para crear una nueva base de datos y, menos aún, para una finalidad distinta.
A modo de conclusión, podemos señalar que tanto las personas naturales o jurídicas que sean titulares de un perfil comercial en una red social deberán regirse por la normativa de protección de datos personales en el Perú, teniendo en cuenta que para tratar información de carácter personal deberán contar con el consentimiento expreso de sus titulares, ofrecer al público una instrucción para que puedan ofrecer sus derechos ARCO y comunicar a la Autoridad Nacional de Protección de Datos Personales, la realización de flujo transfronterizo en la medida que el servidor que contiene la red social se encuentre fuera de territorio nacional. Finalmente, las personas no podrán comercializar los datos personales de personas naturales que estén contenidos en redes sociales, sin el consentimiento de sus titulares.
Notas del Autor
[1] Artículo 2° de la Ley de Protección de Datos Personales:
Tratamiento de datos personales.- Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
[2] Artículo 17° del Reglamento de la Ley de Protección de Datos Personales: “Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes:
- Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general.
- Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
- Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
- Los medios de comunicación social.
- Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo.
En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional.
- Los repertorios de jurisprudencia, debidamente anonimizados.
- Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos – SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley.
- Las entidades de la Administración Pública, en relación a la información que deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.
Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible. La evaluación del acceso a datos personales en posesión de entidades de administración pública se hará atendiendo a las circunstancias de cada caso concreto.
El tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento.
[3] REVOREDO, Abel (13 de febrero de 2017). Redes Sociales y Privacidad. Recuperado de: http://revoredo.pe/2017/02/redes-sociales-y-privacidad/