Derecho al olvido en Peru, en Revista Ideele

El nuevo número de la Revista Ideele publicada por el Instituto de Defensa Legal incluye un artículo mío sobre el siempre polémico Derecho al Olvido. En mi artículo, intento aterrizar lo que comprende y no comprende este debate desde un punto de vista pragmático más allá de esloganes o casos aislados.

Sigue leyendo

Ley de geolocalización algunas aproximaciones

Como ya es bien conocido, el pasado 27 de julio y dentro del paquete de facultades legislativas otorgadas al Poder Ejecutivo se publicó el Decreto Legislativo No. 1182. Bajo la excusa de combatir la delincuencia, la norma aprobada regula un procedimiento muy rápido para que en determinados casos la policía, sin intervención de autoridad judicial alguna, pueda recabar los datos que permitan geolocalizar los dispositivos móviles y así ubicar a presuntos delincuentes.

Sigue leyendo

Adolescentes y Redes Sociales

Hace unos días leía en Twitter una frase que decía, más o menos, lo siguiente: » Lo bueno de ser mayor de 40 años es que la mayoría de las tonterías que hice en mi vida fueron antes de la aparición del Internet». La frase me causo gracia y, al mismo tiempo, una sensación de tranquilidad pues, felizmente, no existen pruebas de las tonterías que todos los mayores de 40 hicimos durante nuestra adolescencia. Sin embargo, me quedo dando vueltas en la cabeza la pregunta ¿A qué se enfrentan los adolescentes de ahora cuyas actividades cotidianas son registradas vehementemente en incontables redes sociales por ellos o sus amigos? Revisando el informe de Ipsos Perú sobre el Perfil de los usuarios de redes sociales 2012 pude constatar que el 39% de los menores entre 8 y 11 años tienen una cuenta en redes sociales mientras que en el segmento de menores entre 12 y 17 esta cifra se dispara a un importante 84%. El mismo informe nos indica que más del 80% de los usuarios de redes sociales en el Perú ha subido fotos alguna vez mientras que el 50% de ellos ha creado álbumes de fotos y acostumbra etiquetar fotos (personales o de terceros). Sigue leyendo

El debate sobre la privacidad y seguridad en la Red: Regulación y mercados

Es conocido que la evolución tecnológica de la última década ha incrementado la capacidad de recogida, uso y almacenamiento de datos personales en un entorno abierto y global, donde se difuminan las barreras territoriales y los sistemas legales que regulan la privacidad. Esto ha dado lugar a un importante debate sobre el desarrollo futuro del ecosistema Internet y la economía digital en el que urge una mayor armonización reguladora. Es con esta excusa que se ha presentado recientemente, en el local institucional de la Fundación Telefónica, el libro «El debate sobre la privacidad y seguridad en la Red: Regulación y mercados». En la presentación participaron los blawyers Abel Revoredo y Óscar Montezuma.

El libro recoge una serie de valiosas contribuciones de los expertos más relevantes del mundo académico y empresarial, tanto en EE. UU. como en Europa, se analizan los orígenes, evolución y perspectivas del derecho a la privacidad. Sin duda un libro de ineludible lectura, que además se puede descargar sin costo (aquí), ninguna excusa para no leerlo.

Les dejamos la presentación completa.

Omar Chehade vs. la Internet

omar_chehade

Un nuevo Proyecto de Ley presentado por Omar Chehade y otros congresistas de la bancada nacionalista busca establecer un sistema de censura previa en Internet. El Proyecto de “Ley de Protección del Menor de Contenidos Pornográficos en Internet” propone que todas las páginas con contenido para adultos sean bloqueadas por defecto y que solo los usuarios que lo soliciten expresamente no se vean afectados. Para ello, crea una comisión de siete representantes de distintas entidades tendrían a su cargo revisar y seleccionar las páginas web a ser bloqueadas. El Proyecto fue presentado esta semana y espera ser discutido en Comisiones antes de pasar al Pleno.

Hay varios problemas con la propuesta que me interesa explicar aquí. Pero lo primero que tiene que quedar claro es que este no es un debate sobre si los menores de edad deben o no acceder a contenidos para adultos. Creo que todos podemos coincidir en que ese no es un escenario deseable. Lo que me interesa cuestionar es si establecer filtros previos y obligatorios a todo el contenido en Internet es la mejor forma de evitarlo. Yo creo que sería un remedio peor que la enfermedad.

Sigue leyendo

97 trabajadoras del hogar: autoría, privacidad y derecho de imagen en Internet

Tomé conocimiento a través de @mzunigap sobre un sitio web que publica fotografías de 97 trabajadoras del hogar. El álbum de fotografías  se presenta con la siguiente descripción:

97 EMPLEADAS DOMÉSTICAS
libro – instalación / 10

El proyecto consiste en una serie de 97 fotografías de la clase alta peruana en situaciones cotidianas. En cada una de estas imágenes aparece en la parte posterior o cortada por el autor una empleada doméstica. Todas las fotografías han sido extraídas de la red social facebook

Me animé a escribir esta nota a raíz de una discusión iniciada en Facebook sobre el referido album. El objetivo de este artículo es mostrar, en términos generales y más allá del referido caso, los posibles temas legales relacionados con la publicación de fotografías en Internet.

Sigue leyendo

La protección de datos personales

El 3 de julio de 2011 se publicó en el Diario Oficial «El Peruano» la Ley de Protección de Datos Personales (Ley 29733) mediante la cual se recogieron los derechos, principios y obligaciones relacionadas con la recolección, tratamiento y protección de los datos personales de los ciudadanos. Casi 2 años después, el 22 de marzo último, mediante Decreto Supremo No. 003-2013-JUS se aprobó el Reglamento de la Ley (Ver aquí) en donde se desarrollaron y se estableció la forma de aplicación de las disposiciones de aquella. Este 8 de mayo entra en vigencia el Reglamento, pero las empresas que cuenten con Bancos de Datos tienen 2 años para adecuarlos a estas normas. En este post trataremos de destacar las principales disposiciones de las mismas y su forma de aplicación así como las preguntas que nos surgen de su lectura y los principales problemas que prevemos tendrán que afrontar las empresas que sean titulares de Bases de Datos.

En primer lugar debemos destacar que ambas normas establecen definiciones que resultan indispensables para su correcta interpretación y aplicación. Entre ellas, quisiera comentar la definición de «datos personales» y la preocupación que nos provoca su amplitud pues, conforme a lo que señala el Reglamento, se considera «dato personal» a cualquier información que identifique o permita hacer identificable a una persona. Lo mismo sucede con la definición de «datos sensibles» pues, de igual forma, contiene un listado sumamente amplio de este tipo de datos y concluye señalando que cualquier otro dato que afecte la intimidad del titular también tendrá aquel carácter. En ese sentido, todo pareciera indicar que, en el futuro, la autoridad encargada de la aplicación de estas normas gozará de suficiente discrecionalidad para completar dichas definiciones dejando a los administrados sujetos sus interpretaciones.

Otro aspecto interesante de estas normas es el establecimiento de una serie de principios que deben regir su aplicación e interpretación y que se encuentran relacionados con los derechos de los titulares de los datos, las obligaciones de los titulares de los bancos de datos y con el rol de la entidad del Estado encargada de su aplicación. Estos principios son los siguientes:

  • Legalidad: El tratamiento de datos personales debe hacerse de acuerdo a Ley.
  • Consentimiento: Para el tratamiento de datos personales es indispensable contar con el consentimiento del titular de los datos. El consentimiento debe ser libre, previo, expreso, informado e inequívoco.
  • Finalidad: La recopilación de datos debe tener una finalidad determinada, explícita y lícita. El tratamiento de los datos debe sujetarse a la finalidad inequívocamente expresada al momento de su recopilación. Adicionalmente, en el caso de datos sensibles, se requiere que la finalidad sea acorde a las actividades o fines del titular del Banco de Datos.
  • Calidad: Los datos personales deben ser veraces, exactos, actualizados, necesarios, pertinentes y adecuados a la finalidad para la que fueron recopilados. Se presume que los datos proporcionados por el titular de los mismos son exactos.
  • Seguridad: El titular del Banco de Datos debe adoptar las medidas de seguridad necesarias para evitar cualquier tratamiento contrario a la Ley o el Reglamento.
  • Disposición de Recurso: El titular de los datos personales debe contar con las vías administrativas y judiciales necesarias para reclamar o hacer valer sus derechos.
  • Nivel de protección adecuado: El flujos transfronterizo de datos debe estar sujeto a un nivel de protección suficiente o, por lo menos, equiparable a lo establecido en la Ley.

Mención aparte merece la regulación del «consentimiento» en estas normas pues, como hemos visto en los principios antes señalados, el consentimiento no sólo debe ser libre, previo, expreso, informado e inequívoco (términos a los que la Ley y el Reglamento dedican algún tiempo); sino que, además, debe ser específico para los tratamientos expresados por el titular del Banco de Datos, destinado únicamente a la transferencia nacional o internacional autorizada en su recolección y sujeto al derecho de revocarlo en cualquier momento.

Sobre el tema del consentimiento debemos resaltar algunos conceptos recogidos en las normas bajo comentario. Por ejemplo, la entrega de obsequios o beneficios no afectan la condición de libertad (salvo en el caso de menores de edad); pero el condicionamiento de la prestación de un servicio a la previa entrega de los datos si afecta la libertad y no se encuentra admitido. Además, las condiciones en que se otorgue el consentimiento no deben admitir dudas sobre su otorgamientos y puede ser verbal o escrito, en el mundo digital se acepta el consentimiento por «click», el uso de firmas electrónicas o usando textos preestablecidos.

No obstante ello, existen excepciones al consentimiento sobre las que, creemos, se producirá frondosa discrepancia y discusión en los próximos meses o años. Así, no se requiere consentimiento para el tratamiento de datos personales en los siguientes casos:

  • Cuando se recopilen para el Estado.
  • Cuando estén o vayan a estar en «fuentes accesibles al público». El Reglamento propone algunos casos de «fuentes accesibles al público» que deberemos mirar con mucho cuidado: medios de comunicación electrónica, guias telefónicas, diarios y revistas, medios de comunicación social, listas de gremios profesionales, jurisprudencia anonimizada, registros públicos, etc.
  • Cuando se trate de datos relativos a la solvencia patrimonial o al crédito (conforme a la ley de la materia)
  • Cuando medie norma para la promoción de competencia
  • Cuando los datos sean destinados a la ejecución de una relación contractual en la que el titular de los datos sea parte.
  • Cuando los datos deriven de una relación científica o profesional con el titular.
  • Cuando sea necesario utilizar los datos de salud por circunstancias de emergencia o «interés público»;
  • Cuando los datos de sus miembros sean tratados por organismos sin fines de lucro con finalidad política, religiosa o sindical.
  • Cuando hubiera mediado un procedimiento de anonimización o disociación.
  • Cuando el tratamiento sea necesario para proteger los intereses del titular de los datos.

Otro aspecto importante de estas normas es la relacionada a la transferencia de datos. Al respecto, se dispone que para ello se requiere el consentimiento previo del titular. Sin embargo, es posible realizar transferencias dentro de un grupo empresarial siempre que el mismo cuente con un código de conducta debidamente inscrito. Para la transferencia dentro del territorio nacional bastará con informar al receptor de los datos las condiciones que dieron lugar al consentimiento del titular. Finalmente, para la transferencia internacional será necesario asegurarse que el país de destino cuente con niveles de protección adecuados o, en caso contrario, que el emisor garantice que el tratamiento se va a realizar conforme a la Ley y el Reglamento. En lo que respecta a la tercerización del tratamiento (que no implica transferencia del Banco de Datos) bastará con garantizar el cumplimiento de lo establecido en ambos cuerpos normativos.

Antes de terminar quería dejar con ustedes algunas dudas que me han surgido durante la lectura de estas normas y que espero se puedan aclarar antes de su entrada en vigencia:

¿El concepto Banco de Datos incluye a aquellos listados de clientes que los vendedores de determinada empresa tienen en un Excel? O, peor aún, ¿la lista de contactos de mi Outlook?

¿La información contenida en Facebook o Linkedin puede ser considerada como una «fuente accesible al público»?

¿Qué deben hacer las empresas con los Bancos de Datos recopilados con anterioridad a la vigencia de estas normas? ¿La adecuación será posible cuando hablamos de Bancos con millones de registros? ¿Alcanzará el plazo de dos años?

Con el creciente uso de smartphones y sus habilidades de geolocalización ¿Se puede decir que esos datos no son indispensables para la prestación del servicio cuando con ellos puedo personalizar mejor mis ofertas?

Hablando de Big Data ¿Estas normas frenaran o impulsarán el tratamiento de la información obtenida de la infinidad de fuentes que hoy generan información utilizable para prestar servicios?

¿Las empresas necesitarán consentimiento para recoger datos de la cada vez mayor cantidad de aparatos conectados a Internet? ¿El M2M se perjudicará?

¿Se puede considerar que un consentimiento es expreso cuando el titular de los datos utiliza una página web y se somete a sus «Condiciones de Uso»?

Aunque considero que no sería necesaria una regulación específica ¿La transferencia de Bancos de Datos como consecuencia de una fusión o reorganización empresarial estará sujeta a algún requisito especial?

Si una persona me entrega su tarjeta, ¿puedo ingresar su información a un Banco de Datos de mi empresa?

Espero sus comentarios.

Entrada publicada originalmente en el blog Cyberlaw del diario Gestión (aquí).

Y no podrán botarte…

Es sabido que el uso de las nuevas tecnologías en el centro de trabajo es un aspecto que puede generar -y de hecho genera- una serie de tensiones entre empleadores y trabajadores, conflictos que muchas veces suelen terminar discutiéndose en los tribunales.

No obstante, esta tirantez no se ha traducido en el Perú en una gran jurisprudencia sobre la materia. Como antecedentes identificados, tenemos la Sentencia del Tribunal Constitucional en el conocido caso García Mendoza v. Serpost (Uso de Internet en el trabajo, pensando en voz alta) y un par de Proyectos de Ley presentados en el Congreso de la República para regular el uso de las nuevas tecnologías en centros laborales, curiosamente ambos por la parlamentaria Lazo de Hornung de Alianza Parlamentaria (Regulando las comunicaciones electrónicas en el trabajo).

Hace poco nuestro Tribunal Constitucional nos ha sorprendido con dos sentencias más sobre la materia.

En primer caso de Telefónica Centros de Cobro (Exp. No. 00114-2011-PA/TC), la empresa descubre que su Jefe Zonal de Piura viene utilizando una aplicación conocida como NetSend así como el sistema de envío de mansajes cortos (SMS) del teléfono celular corporativo para sostener conversaciones con un lenguaje «soez e impropio» y «ajenas a las que deben darse en un centro de trabajo ya que son de contenido sexual» con una empleada de la empresa. El otro caso, de Telefónica Gestión de Servicios Compartidos (Exp. No. 03599-2010-PA/TC), parece que está relacionado con el primero, y correspondería a la señorita que mantuvo las conversaciones soeces, impropias y de contenido sexual con su jefe, a la sazón Jefe Zonal de Piura, a través de la aplicación NetSend. En ambos procesos, el Poder Judicial en dos instancias decidió prudentemente declarar improcedente las demandas, por considerar que los hechos no podían ventilarse en un proceso de amparo. Pero ya sabemos que la ausencia de una etapa probatoria no intimida a nuestro Constitucional y rara vez se inhibe de decidir, aún cuando debiera hacerlo. Son las ventajas de encontrarse por encima del bien y del mal.

Ninguna de las dos sentencias van a pasar a la posteridad, como ocurre con la inmensa mayoría de las toneladas folios que expide al año nuestro Constitucional, en lo que vendría a ser una versión posmoderna y perversa del fordismo aplicado a los tribunales, pues la carga de trabajo es inversamente proporcional a la calidad de las resoluciones. El Tribunal Constitucional peruano ha ampliado conscientemente sus competencias casi al infinito lo que lo ha convertido en una suerte de instancia adiconal paralela a la judicial. Algo falla en el sistema y en particular con el Tribunal Constitucional a la cabeza, pero no es este el foro para discutirlo.

En lo que respecta a estas dos extrañas sentencias, ambas están conformadas por seis votos distintos. Tres se decantan por declarar fundadas las demandas, dos por que sean declaradas infundadas y una para que sean tramitadas y no declaradas improcedentes de forma liminar, como ocurrió inicialmente en las dos instancias anteriores.

No obstante, dado que incluso los votos que van por el camino de declarar a la demanda como fundada no son coincidentes, es poco lo que se puede extraer como conclusión respecto de cuál sería el criterio que los empleadores deberían seguir cuando se enfrenten a este tipo de casos. Pero la seguridad jurídica y la predictibilidad tampoco suele ser principios que inspiren a nuestro Tribunal Constitucional.

Para Mesía Ramirez el poder disciplinario que tiene el empleador no lo faculta para acceder al contenido de correos electrónicos o de aplicativos del tipo NetSend, sin autorización judicial. Cuestionable, incluso cita mal dos asuntos seguidos ante el Tribunal Europeo de Derechos Humanos (Asuntos Copland contra Reino Unido y Halford contra Reino Unido). Calle Hayen es de la misma opinión. Eto Cruz, parece destacar con acierto que la Ley no ha previsto ningún procedimiento ni garantía para la intervención de las comunicaciones de los trabajadores por la protección de determinados derechos constitucionales del empleador; sin embargo, considera que la demanda debe declararse fundada, pues el Reglamento de Trabajo de las demandadas carece de alguna alusión respecto del uso de las tecnologías de la información por parte de los trabajadores, ni las formas de utilización de las mismas, ni la capacidad de fiscalización, ni menos aún las sanciones correspondientes por el uso indebido. Razonable.

Vayamos ahora al bando que quedó en minoría. Álvarez Miranda, en lo que viene a ser de lejos el voto mejor sustentado, considera que «no puede asimilarse mecánicamente el tratamiento de las cuentas privadas a las laborales. (…) No puede entenderse que una sesión de chat realizada a través de una aplicación proporcionada por el empleador, como herramienta de trabajo, haya generado una expectativa razonable de confidencialidad. (…) Puede decirse que el e-mail laboral y el chat o mensajero interno, son medios de comunicación laboral, al igual que los clásicos memorandos, oficios o requerimientos, sólo que más rápidos, prácticos y ecoeficientes que estos últimos. Y no se puede desprender, razonablemente, por su propia naturaleza, que un oficio, memorando o requerimiento sea un medio de comunicación sobre el que quepa guardar una expectativa de secreto o confidencialidad». Para Urviola Hani, ni tipificación en el Reglamento de Trabajo ni nada por el estilo, el correo o cualquier herramienta informática es únicamente para fines laborales. Finalmente, Vergara Gotteli nos dirá que la demanda sí tiene relevancia constitucional por lo que no correspondía rechazarla liminarmente.

Como pueden ver, decisiones para todos los gustos. Por lo pronto el Jefe Zonal podrá seguir enviando menajes procaces a su subordinada, sólo que ahora, con total impunidad.

Foto: Sean MacEntee (CC BY)