El debate sobre la privacidad y seguridad en la Red: Regulación y mercados

Es conocido que la evolución tecnológica de la última década ha incrementado la capacidad de recogida, uso y almacenamiento de datos personales en un entorno abierto y global, donde se difuminan las barreras territoriales y los sistemas legales que regulan la privacidad. Esto ha dado lugar a un importante debate sobre el desarrollo futuro del ecosistema Internet y la economía digital en el que urge una mayor armonización reguladora. Es con esta excusa que se ha presentado recientemente, en el local institucional de la Fundación Telefónica, el libro “El debate sobre la privacidad y seguridad en la Red: Regulación y mercados”. En la presentación participaron los blawyers Abel Revoredo y Óscar Montezuma.

El libro recoge una serie de valiosas contribuciones de los expertos más relevantes del mundo académico y empresarial, tanto en EE. UU. como en Europa, se analizan los orígenes, evolución y perspectivas del derecho a la privacidad. Sin duda un libro de ineludible lectura, que además se puede descargar sin costo (aquí), ninguna excusa para no leerlo.

Les dejamos la presentación completa.

97 trabajadoras del hogar: autoría, privacidad y derecho de imagen en Internet

Tomé conocimiento a través de @mzunigap sobre un sitio web que publica fotografías de 97 trabajadoras del hogar. El álbum de fotografías  se presenta con la siguiente descripción:

97 EMPLEADAS DOMÉSTICAS
libro – instalación / 10

El proyecto consiste en una serie de 97 fotografías de la clase alta peruana en situaciones cotidianas. En cada una de estas imágenes aparece en la parte posterior o cortada por el autor una empleada doméstica. Todas las fotografías han sido extraídas de la red social facebook

Me animé a escribir esta nota a raíz de una discusión iniciada en Facebook sobre el referido album. El objetivo de este artículo es mostrar, en términos generales y más allá del referido caso, los posibles temas legales relacionados con la publicación de fotografías en Internet.

Continue reading

¿Redes Sociales en el trabajo?

El 27 de abril último se aprobó en el Senado del Estado de Washington un proyecto de ley denominada “Employer Social Media Password Bill” algo así como la “Ley para Empleadores sobre el Uso de Claves de Redes Sociales” que pueden ver aquí. Actualmente esta norma se encuentra a la espera de la firma del Gobernador de dicho Estado para entrar en vigencia y regula el acceso de los empleadores a las cuentas privadas de los trabajadores en redes sociales. En este post compartiremos con ustedes las principales regulaciones de esta norma y nuestros comentarios al respecto.

La ley prohíbe a los empleadores:

  • Solicitar a sus trabajadores o postulantes a puestos de trabajo la entrega de sus claves de acceso a redes sociales.
  • Obligar a los trabajadores a ingresar a sus cuentas en redes sociales delante de ellos, es decir, de forma y manera que permita al empleador tener acceso al contenido de la cuenta del trabajador.
  • Obligar al trabajador a agregar al empleador, o a cualquier otra persona indicada por el empleador, como contacto en cualquier red social.
  • Obligar al trabajador a modificar la configuración de su cuenta en alguna red social de modo que se eliminen restricciones al acceso de terceras personas.
  • Aplicar sanciones o tomar cualquier medida en contra del trabajador o postulante que se niegue a realizar alguna de las actividades señaladas precedentemente.

Si bien alguna vez había leído un artículo señalando la ilegalidad de estas prácticas; no le presté mucha atención pues me pareció bastante lógico que así fuera. En efecto, siempre he considerado que la información que ingresamos a las redes sociales y que pretendemos que se mantenga en un ámbito privado o con alguna restricción de acceso debía mantenerse así. Nunca pude imaginar que alguien pretendiera obligar a otra persona a revelar información que no desea que salga de su círculo personal.

Lamentablemente, pareciera que anduve equivocado pues sospecho que, al menos en los EUA, está costumbre está alcanzando ribetes de plaga ya que las legislaturas estatales se están viendo forzadas a regular estas prohibiciones mediante leyes expresas. Como vemos en este documento, las legislaturas de California, Illinois, Maryland, Michigan, New Jersey, New Mexico y Utah han promulgado normas que protegen las claves de acceso a redes sociales de los trabajadores y ya empieza a circular la pregunta de si es necesario dictar una norma Federal al respecto.

Otras disposiciones de la norma bajo comentario permiten a los empleadores acceder a la información contenida en las cuentas de sus trabajadores en redes sociales cuando se cumplan (todas) las siguientes condiciones:

  • Cuando resulte necesario para obtener información requerida en una investigación.
  • Cuando la investigación derive de una denuncia acerca de las actividades del trabajador en redes sociales.
  • Cuando el propósito de la investigación sea: (i) asegurar el cumplimiento de leyes, regulaciones o prohibiciones relacionadas con la actividad del trabajador o (ii) determinar la transferencia ilegal de información confidencial del empleador, información propiedad del empleador o información financiera del empleador.
  • Que el empleador no hubiera solicitado la clave de acceso a la cuenta del trabajador en la red social.

Hasta ahora pareciera que todo va bien y que el trabajador podría vivir tranquilo pues el propósito de la norma sería básicamente limitar el acceso a la información de las redes sociales del trabajador únicamente aquellos casos cuando se sospeche de actos ilegales que pudieran afectar gravemente al empleador. No obstante ello, existen algunas otras disposiciones que nos preocupan y que tienen que ver con las herramientas (software y hardware) proporcionados por el empleador.

En efecto, según esta norma las protecciones mencionadas líneas arriba no serán aplicables cuando se trate de redes sociales internas, intranets, herramientas colaborativas o mecanismos de comunicación proporcionadas por el empleador. Tampoco se aplican a cuentas o equipos pagados o proporcionados por el empleador ni cuando se trata de cumplir disposiciones contenidas en políticas de recursos humanos del empleador o normas legales que le resulten aplicables independientemente del lugar en donde se usó la red social (en el trabajo o fuera de el).

Como señala Antonio Rodriguez en este post (aquí) en el Perú aún no tenemos una norma aprobada al respecto aunque sí algunos proyectos de ley (aquí) y algunas sentencias del Tribunal Constitucional (aquí) con posiciones y declaraciones de diferente índole. Es importante destacar que en ninguna de ellas se establece que el empleador pudiera tener algún derecho a exigir la clave de acceso a la cuenta privada que algún trabajador pudiera tener en una red social ni siquiera en circunstancias en que se pudiera afectar gravemente al empleador.

Pareciera que el debate empezará pronto y será necesario que se tome una decisión al respecto definiendo claramente cuál será la regla aplicable al uso de redes sociales en el trabajo y fuera de él.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

La protección de datos personales

El 3 de julio de 2011 se publicó en el Diario Oficial “El Peruano” la Ley de Protección de Datos Personales (Ley 29733) mediante la cual se recogieron los derechos, principios y obligaciones relacionadas con la recolección, tratamiento y protección de los datos personales de los ciudadanos. Casi 2 años después, el 22 de marzo último, mediante Decreto Supremo No. 003-2013-JUS se aprobó el Reglamento de la Ley (Ver aquí) en donde se desarrollaron y se estableció la forma de aplicación de las disposiciones de aquella. Este 8 de mayo entra en vigencia el Reglamento, pero las empresas que cuenten con Bancos de Datos tienen 2 años para adecuarlos a estas normas. En este post trataremos de destacar las principales disposiciones de las mismas y su forma de aplicación así como las preguntas que nos surgen de su lectura y los principales problemas que prevemos tendrán que afrontar las empresas que sean titulares de Bases de Datos.

En primer lugar debemos destacar que ambas normas establecen definiciones que resultan indispensables para su correcta interpretación y aplicación. Entre ellas, quisiera comentar la definición de “datos personales” y la preocupación que nos provoca su amplitud pues, conforme a lo que señala el Reglamento, se considera “dato personal” a cualquier información que identifique o permita hacer identificable a una persona. Lo mismo sucede con la definición de “datos sensibles” pues, de igual forma, contiene un listado sumamente amplio de este tipo de datos y concluye señalando que cualquier otro dato que afecte la intimidad del titular también tendrá aquel carácter. En ese sentido, todo pareciera indicar que, en el futuro, la autoridad encargada de la aplicación de estas normas gozará de suficiente discrecionalidad para completar dichas definiciones dejando a los administrados sujetos sus interpretaciones.

Otro aspecto interesante de estas normas es el establecimiento de una serie de principios que deben regir su aplicación e interpretación y que se encuentran relacionados con los derechos de los titulares de los datos, las obligaciones de los titulares de los bancos de datos y con el rol de la entidad del Estado encargada de su aplicación. Estos principios son los siguientes:

  • Legalidad: El tratamiento de datos personales debe hacerse de acuerdo a Ley.
  • Consentimiento: Para el tratamiento de datos personales es indispensable contar con el consentimiento del titular de los datos. El consentimiento debe ser libre, previo, expreso, informado e inequívoco.
  • Finalidad: La recopilación de datos debe tener una finalidad determinada, explícita y lícita. El tratamiento de los datos debe sujetarse a la finalidad inequívocamente expresada al momento de su recopilación. Adicionalmente, en el caso de datos sensibles, se requiere que la finalidad sea acorde a las actividades o fines del titular del Banco de Datos.
  • Calidad: Los datos personales deben ser veraces, exactos, actualizados, necesarios, pertinentes y adecuados a la finalidad para la que fueron recopilados. Se presume que los datos proporcionados por el titular de los mismos son exactos.
  • Seguridad: El titular del Banco de Datos debe adoptar las medidas de seguridad necesarias para evitar cualquier tratamiento contrario a la Ley o el Reglamento.
  • Disposición de Recurso: El titular de los datos personales debe contar con las vías administrativas y judiciales necesarias para reclamar o hacer valer sus derechos.
  • Nivel de protección adecuado: El flujos transfronterizo de datos debe estar sujeto a un nivel de protección suficiente o, por lo menos, equiparable a lo establecido en la Ley.

Mención aparte merece la regulación del “consentimiento” en estas normas pues, como hemos visto en los principios antes señalados, el consentimiento no sólo debe ser libre, previo, expreso, informado e inequívoco (términos a los que la Ley y el Reglamento dedican algún tiempo); sino que, además, debe ser específico para los tratamientos expresados por el titular del Banco de Datos, destinado únicamente a la transferencia nacional o internacional autorizada en su recolección y sujeto al derecho de revocarlo en cualquier momento.

Sobre el tema del consentimiento debemos resaltar algunos conceptos recogidos en las normas bajo comentario. Por ejemplo, la entrega de obsequios o beneficios no afectan la condición de libertad (salvo en el caso de menores de edad); pero el condicionamiento de la prestación de un servicio a la previa entrega de los datos si afecta la libertad y no se encuentra admitido. Además, las condiciones en que se otorgue el consentimiento no deben admitir dudas sobre su otorgamientos y puede ser verbal o escrito, en el mundo digital se acepta el consentimiento por “click”, el uso de firmas electrónicas o usando textos preestablecidos.

No obstante ello, existen excepciones al consentimiento sobre las que, creemos, se producirá frondosa discrepancia y discusión en los próximos meses o años. Así, no se requiere consentimiento para el tratamiento de datos personales en los siguientes casos:

  • Cuando se recopilen para el Estado.
  • Cuando estén o vayan a estar en “fuentes accesibles al público”. El Reglamento propone algunos casos de “fuentes accesibles al público” que deberemos mirar con mucho cuidado: medios de comunicación electrónica, guias telefónicas, diarios y revistas, medios de comunicación social, listas de gremios profesionales, jurisprudencia anonimizada, registros públicos, etc.
  • Cuando se trate de datos relativos a la solvencia patrimonial o al crédito (conforme a la ley de la materia)
  • Cuando medie norma para la promoción de competencia
  • Cuando los datos sean destinados a la ejecución de una relación contractual en la que el titular de los datos sea parte.
  • Cuando los datos deriven de una relación científica o profesional con el titular.
  • Cuando sea necesario utilizar los datos de salud por circunstancias de emergencia o “interés público”;
  • Cuando los datos de sus miembros sean tratados por organismos sin fines de lucro con finalidad política, religiosa o sindical.
  • Cuando hubiera mediado un procedimiento de anonimización o disociación.
  • Cuando el tratamiento sea necesario para proteger los intereses del titular de los datos.

Otro aspecto importante de estas normas es la relacionada a la transferencia de datos. Al respecto, se dispone que para ello se requiere el consentimiento previo del titular. Sin embargo, es posible realizar transferencias dentro de un grupo empresarial siempre que el mismo cuente con un código de conducta debidamente inscrito. Para la transferencia dentro del territorio nacional bastará con informar al receptor de los datos las condiciones que dieron lugar al consentimiento del titular. Finalmente, para la transferencia internacional será necesario asegurarse que el país de destino cuente con niveles de protección adecuados o, en caso contrario, que el emisor garantice que el tratamiento se va a realizar conforme a la Ley y el Reglamento. En lo que respecta a la tercerización del tratamiento (que no implica transferencia del Banco de Datos) bastará con garantizar el cumplimiento de lo establecido en ambos cuerpos normativos.

Antes de terminar quería dejar con ustedes algunas dudas que me han surgido durante la lectura de estas normas y que espero se puedan aclarar antes de su entrada en vigencia:

¿El concepto Banco de Datos incluye a aquellos listados de clientes que los vendedores de determinada empresa tienen en un Excel? O, peor aún, ¿la lista de contactos de mi Outlook?

¿La información contenida en Facebook o Linkedin puede ser considerada como una “fuente accesible al público”?

¿Qué deben hacer las empresas con los Bancos de Datos recopilados con anterioridad a la vigencia de estas normas? ¿La adecuación será posible cuando hablamos de Bancos con millones de registros? ¿Alcanzará el plazo de dos años?

Con el creciente uso de smartphones y sus habilidades de geolocalización ¿Se puede decir que esos datos no son indispensables para la prestación del servicio cuando con ellos puedo personalizar mejor mis ofertas?

Hablando de Big Data ¿Estas normas frenaran o impulsarán el tratamiento de la información obtenida de la infinidad de fuentes que hoy generan información utilizable para prestar servicios?

¿Las empresas necesitarán consentimiento para recoger datos de la cada vez mayor cantidad de aparatos conectados a Internet? ¿El M2M se perjudicará?

¿Se puede considerar que un consentimiento es expreso cuando el titular de los datos utiliza una página web y se somete a sus “Condiciones de Uso”?

Aunque considero que no sería necesaria una regulación específica ¿La transferencia de Bancos de Datos como consecuencia de una fusión o reorganización empresarial estará sujeta a algún requisito especial?

Si una persona me entrega su tarjeta, ¿puedo ingresar su información a un Banco de Datos de mi empresa?

Espero sus comentarios.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

2013: Grandes definiciones en regulación de tecnologías de la información

El 2013 será un año clave para el desarrollo regulatorio de las tecnologías de la información en el país. Estas tecnologías y su adecuada regulación tienen un gran impacto en nuestra vida diaria, desde de nuestro habitual envío de e-mail hasta contratar servicios y realizar pagos online incluso desde nuestro smartphone, por lo que es importante saber lo que vendrá el 2013.

El 2012 fue importante pues evidenció una mayor comprensión de su importancia para la innovación y la consolidación en diversos sectores productivos. No en vano un reciente estudio de McKinsey & Company señala que las industrias basadas en tecnologías de la información y el Internet contribuyen en algunos países hasta con tres puntos porcentuales del PBI.

En el Perú, un hecho muy importante el 2012 fue la presentación de la Agenda de Competitividad 2012-2013 por parte del Consejo Nacional de Competitividad. Dicho documento constituye uno de los primeros reconocimientos expresos que hace el actual gobierno sobre la relevancia de las tecnologías de la información para medir la competitividad del país, dentro de una lógica más amplia de modernización del Estado.

Una importante definición el 2013 es la tan esperada reglamentación de la Ley de Protección de Datos Personales, que tendrá un gran impacto en diversos sectores desde supermercados hasta bancos y financieras. Esta Ley estableció que ninguna entidad pública o privada puede utilizar datos personales de una persona, sin su previa y expresa autorización. Se ha creado la Dirección General de Protección de Datos Personales dentro del Ministerio de Justicia, quien liderará su implementación en el 2013. El Reglamento debería buscar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado, para no afectar actividades económicas basadas en la información.

De otro lado, en julio de 2012 entró en vigencia la Ley de banda ancha y construcción de la red dorsal nacional. Esta norma busca promover el uso masivo de Internet de alta velocidad en todo el territorio nacional, partiendo del hecho que aún seguimos registrando un serio problema de infraestructura de telecomunicaciones y, por ende, bajos niveles de acceso a Internet, sobre todo en las zonas andinas y amazónicas. La propuesta de construir una red de fibra óptica permitirá que gran parte de la población se beneficie de las enormes ventajas que ofrece el Internet en términos de acceso al conocimiento y comercio internacional.

Por ello, la reglamentación de la Ley, que se dará en el 2013, permitirá una agresiva promoción del desarrollo de infraestructura de comunicaciones a fin de proveer de conectividad a todo el país. Proinversión será el encargado de concesionar la construcción, operación y financiamiento de esta red dorsal. No debemos dejar de lado que, en paralelo, en el Congreso se ha iniciado la revisión de la Ley de Telecomunicaciones y su Reglamento, la misma que tendría que guardar sintonía con el proceso de reglamentación de la Ley de banda ancha.

Finalmente, el Ministerio de Comercio Exterior y Turismo (Mincetur) inició en noviembre pasado la implementación del capítulo del TLC Perú-Estados Unidos que regula la responsabilidad de los prestadores de servicios de Internet por infracciones a los derechos de autor de sus usuarios. Dicho proceso ha sido muy discutido en otros países y consideramos que en el Perú se deberá tener mucho cuidado en equilibrar la protección de la propiedad intelectual con el respeto de derechos constitucionales como el debido proceso, libertad de expresión y privacidad.

Al intentar regular estas materias lo recomendable, como principio general, es respetar la neutralidad regulatoria, es decir, no regular una tecnología específica sino más bien establecer principios generales de los servicios que son regulados. De igual manera, no debería prohibirse conductas en el entorno digital que son válidas y lícitas en el mundo físico. De lo contrario y frente al progresivo avance tecnológico, las normas correrán el riesgo de quedar rápidamente desactualizadas. Es más, muchas veces podemos encontrar en nuestra legislación tradicional viejas soluciones para nuevos problemas.

¿Qué pasó con la Ley de Delitos Informáticos?

Cabina de Internet en Perú

En junio pasado, el Congreso peruano propuso una ley que penalizaba al usuario promedio de Internet por razones ajenas a su propia conducta. El proyecto de Ley de Delitos Informáticos pretendía limitar nuestro derecho constitucional al secreto de comunicaciones y otorgarle a la policía acceso fácil a nuestros datos personales.

Junto a Access Now, ejercimos presión por una nueva ley que proteja los derechos a la privacidad y la libertad de expresión de los usuarios de Internet. Esa lucha no ha terminado: el Proyecto de Ley de Delitos Informáticos aún está latente. Sin embargo, hasta que la sociedad civil no asuma un rol más fuerte en materia de políticas públicas sobre Internet, y los políticos peruanos no nos reconozcan como actores significativos, seguiremos viendo estos mismos problemas en nuevas leyes.

Al igual que muchos países en América Latina y otras regiones, Perú es un estado cuyos representantes políticos no están familiarizados con Internet y tecnologías en general. Nuestras políticas nacionales al respecto siguen siendo directrices genéricas que no sirven de guía para soluciones innovadoras y leyes inteligentes. A diferencia de otros asuntos de interés público, como la violencia política o la discriminación, existen pocas voces que contribuyen al debate público sobre política de Internet en el Perú desde la perspectiva de la sociedad civil. Como resultado de este vacío, los intereses de los usuarios no se ven representados en el Congreso cuando se proponen proyectos de ley que afectan a nuestros derechos.

Esta situación genera un desequilibrio en el resultado del proceso legislativo. A menudo, los únicos puntos de vista externos que se ponen sobre la mesa son los de empresas y inversionistas que pueden contratar abogados para que representen sus intereses. Muchas opiniones y puntos de vista valiosos desde la sociedad civil se pierden en los medios de comunicación y no llegan a transformarse en propuestas reales. A la vez, este desequilibrio también genera una opinión pública parcialmente informada, que solo llega a conocer un lado de la controversia.

Cualquier campaña de la sociedad civil sobre una política pública en Internet en Perú se enfrenta a un doble reto: facilitar la comprensión pública de las cuestiones en debate, por un lado, y equilibrar el debate desde la perspectiva de los derechos de los usuarios y de las libertades, por el otra. De lo contrario, tendremos más leyes como la Ley de Delito Informáticos, con una redacción vaga y errores de técnica legislativa que pueden terminar afectando derechos individuales.

Gracias al interés de muchas instituciones de la sociedad civil, nacionales e internacionales, los miembros del Congreso recibieron cartas con comentarios sobre los aspectos más críticos del proyecto. Recientemente, parece que el Congreso ya no está promoviendo activamente el Proyecto de Ley de Delitos Informáticos y, a cambio, se está trabajando en la adopción de la Convención de Budapest sobre la Ciberdelincuencia (el texto de la Convención puede leerse aquí). Sin embargo, dado no se ha hecho ningún anuncio oficial al respecto, esta batalla aún no ha terminado. De hecho, el pasado 18 de septiembre, el congresista Eguren instó al Congreso de la República a incluir el Proyecto de Ley de Delitos Informáticos en la agenda de debate del Pleno.

En este contexto, es necesario contar con una comunidad bien informada y voces fuertes de la sociedad civil. Por eso, un conjunto de jóvenes profesionales hemos decidido unir sus fuerzas para crear Hiperderecho, un grupo dedicado a estudiar y facilitar la comprensión pública de las políticas públicas en el Internet en el Perú. Como primer proyecto, Hiperderecho ha creado una plataforma educativa y positiva llamada “Una Mejor Ley de Delitos Informáticos”. La plataforma tiene la intención de explicar el proyecto, recogiendo toda la información disponible en línea. Además, también propone cinco cambios específicos que ayudarían a lograr un mejor equilibrio de los intereses en el texto del proyecto de ley. El texto completo de la propuesta se puede leer en la página web de Hiperderecho. Por supuesto, se trata de una plataforma social abierta a la retroalimentación y mejora continua. Esperamos contar con su presencia en línea. Además de expresar su opinión, también se puede leer el Proyecto de Ley y el espectro completo de los comentarios realizados a la misma, y tomar acción escribiendo al Congreso o a los congresistas particulares.

La versión original de este post se publicó en inglés en el blog de Access Now.

Foto: Asleeponasunbeam (CC BY-NC-ND)

Comentarios al Proyecto de Reglamento de la Ley de Protección de Datos Personales

Ayer concluyó el plazo para presentar comentarios al Proyecto de Reglamento de la Ley 29733 publicado por el Ministerio de Justicia en su página web [PDF, 9MB]. La Ley de Protección de Datos Personales, publicada en julio del año pasado, suspendía parcialmente su vigencia hasta la publicación de su Reglamento. El Reglamento fue elaborado por una Comisión Multisectorial y su proyecto fue hecho público para comentarios el mes pasado.

Oscar Montezuma y yo hemos presentado nuestros comentarios, a título individual, haciendo un fuerte énfasis a favor de la simplificación de la regulación. Como señalamos en el documento, creemos que es necesario realizar ajustes en el texto propuesto del Reglamento con la finalidad de hacer que el cumplimiento de la Ley sea mejor entendido por el público en general y por los agentes económicos que tratan datos personales. Una reglamentación muy compleja elevaría los costos de cumplimiento de la Ley por parte de los agentes económicos y, a su vez, la administración pública necesitaría de mayores recursos para la efectiva fiscalización de su cumplimiento. Creemos que es posible contar con una regulación sencilla de cumplir y que no pierda de vista la efectiva protección de los derechos individuales.

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales por Oscar Montezuma y Miguel Morachimo [PDF]

También

Comentarios al Proyecto de Reglamento de la Ley 29733 — Ley de Protección de Datos Personales presentados por el Estudio Iriarte & Asociados [PDF]

El Perú, la privacidad, los mercados y la ley

Si usted se encuentra vinculado a alguna empresa de servicios públicos, de telemarketing, entidad financiera o de salud, call center o quizás algún negocio virtual esta nota seguramente será de su interés. El año pasado el Perú aprobó la Ley General de Protección de Datos Personales que básicamente postula que ninguna entidad pública o privada podrá utilizar información personal de ningún ciudadano sin su autorización “previa, informada, expresa e inequívoca”. Sin duda una iniciativa positiva que contribuye a un fin mayor: prevenir el uso de dicha información para actividades delictivas.

Recientemente el Ministerio de Justicia publicó el Proyecto de Reglamento de la citada ley. Entre otras cosas se precisa en detalle cómo deberá ser la autorización  antes mencionada, las medidas de seguridad que deberán tener las bases de datos, el plazo de adecuación para bases de datos existentes, las obligaciones de registro de bases de datos en un registro público nacional, la transferencia internacional de datos personales y el régimen de sanciones y multas, que alcanzan las 100 UIT. Incluso el proyecto se aventura a regular el tratamiento de datos por servicios de comunicaciones electrónicas y cloud computing.

Los 132 artículos del Proyecto revelan una clara vocación reglamentarista y merecen una lectura detenida a fin de salvaguardar un sano equilibrio entre la protección de la privacidad y el deseable flujo de información en el mercado. El plazo para presentar comentarios ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vence el próximo jueves 12 de abril.

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que “no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público“. En otras palabras, si algún dato personal ya está contenido en una “fuente accesible para el público”, no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a “todo otro registro o base de datos calificado como público”. Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)