Por Andrea Pulgar, Experta Certificada en Protección de Datos (ECPD) y asociada del Estudio Grau Abogados.

El pasado 12 de septiembre del presente año, se constituyó el equipo de trabajo para elaborar el informe sobre la viabilidad de crear una autoridad única e independiente de Protección de Datos Personales y Acceso a la Información Pública.

Por su parte, la Ley 30506 establece la delegación de facultades al Poder Ejecutivo para legislar, entre otras materias, sobre lucha contra la corrupción, teniendo entre una de sus finalidades la de: “Crear la Autoridad Nacional de Transparencia y Acceso a la Información Pública, que garantice el derecho al acceso oportuno y transparente de la información pública, así como la protección de los datos personales; reestructurando y fortaleciendo el marco normativo de la actual Autoridad Nacional de Protección de Datos Personales”.

Hasta aquí, podemos observar un interés del Gobierno actual de buscar una mayor autonomía de la Autoridad de Protección de Datos Personales, garantizando el equilibrio del derecho de acceso a la información pública y el derecho a la protección de datos personales. Esto, mediante la creación de una Autoridad Única que deberá velar por el respecto de ambos derechos constitucionales.

Sin embargo, si bien nos encontramos de acuerdo en términos generales con dicha iniciativa, consideramos que en aras de fomentar el cumplimiento y respeto voluntario de ambos derechos, también será importante dos aspectos. El primero es la elaboración de un marco normativo que contenga un concepto claro de que es “información pública” y la regulación de en qué supuestos este derecho constitucional debe ser limitado por el también derecho constitucional a la protección de datos personales. El segundo es la revisión de la normativa sobre protección de datos personales, tomando en consideración los años de aplicación práctica de la Ley de Protección de Datos Personales (aunque pocos) desde su vigencia.

En atención a lo expuesto, proponemos algunas modificaciones que consideramos deben ser evaluadas en relación a la normativa de protección de datos personales

1. Evaluar la viabilidad de establecer una excepción al consentimiento expreso para ciertas situaciones

La Ley de Protección de Datos Personales establece como regla general la obtención del consentimiento expreso, prohibiendo manifiestamente el consentimiento tácito. Sin embargo, algunos años después de la vigencia de la referida norma, se ha puesto de manifiesto que esta exigencia resulta difícil —por no decir imposible— de cumplir en algunos casos en los que, por la naturaleza del proceso en el que se recaban los datos personales, resulta imposible implementar una herramienta o método de captación del consentimiento expreso.

En efecto, existen operaciones en los que la captación del consentimiento expreso resulta de difícil cumplimiento. Algunos ejemplos son los casos de captación de imágenes por cámaras de video vigilancia y la grabación de voz en canales de atención de call center.

En el primer caso, salvo que exista una norma que exija la obligación general de contar con un sistema de video vigilancia —supuesto en el cual no se requerirá consentimiento para la grabación de imágenes mediante dicho sistema— la exigencia del consentimiento expreso resultaría de difícil o imposible cumplimiento. La exigencia obligaría a solicitar el consentimiento a cada una de las personas que ingresen a los establecimientos video vigilados. Resulta claro que esto resultaría imposible de cumplir en los casos de establecimientos abiertos al público, donde la afluencia de público es masiva.

Lo mismo ocurre con la obtención del consentimiento para la grabación de voz para los casos de sistemas de atención por call center. Resultaría difícil obtener el consentimiento expreso para la grabación de la voz y asegurar la continuidad de la atención del usuario del canal (salvo que se trate de la atención de una queja o reclamo que no requerirá el consentimiento del interesado para fines de la atención del reclamo). Consideramos que, en los casos generales en los que la utilización del call center es como un canal de comunicación y contacto con los clientes o usuarios para acercarlos al negocio o servicio, la necesidad de obtención de un consentimiento expreso convierte este canal de atención en un mecanismo engorroso por el tiempo que debe invertir el usuario para prestar su consentimiento informado antes de lograr la comunicación definitiva. Probablemente esto desincentivará su uso en perjuicio del usuario final que no tendrá más alternativa que acudir a la atención presencial o virtual.

2. Eliminar la información relacionada a la remuneración como dato sensible

La Ley de Protección de Datos Personales establece que los datos sensibles son aquellos datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

Como se puede desprender de la definición antes citada, se considera dato sensible a los ingresos económicos de las personas naturales.

No sometemos a discusión la consideración de la remuneración como dato personal; sin embargo, consideramos que debe evaluarse su consideración de dato sensible, puesto que a nuestro entender no existe justificación alguna para que dicha información se encuentre dentro de esta tipificación. No se trata de información que permite identificar de manera indefectible a la persona, o que puede ser utilizada para discriminarla u hostilizarla.

En tal sentido, nos encontramos de acuerdo con la definición de dato sensible que recoge el Reglamento de Protección de Datos Personales. Este reglamento establece que se considerara como dato sensible a aquella información relativa a: datos personales referidos a las características físicas, morales o emocionales; hechos o circunstancias de su vida afectiva o familiar; los hábitos personales que corresponden a la esfera más íntima; la información relativa a la salud física o mental u otras análogas que afecten su intimidad. Dentro de esa intimidad, el dato de “ingresos económicos” no tiene cabida.

Nuestra propuesta de reforma en este extremo aboga por que el dato de “ingresos económicos” sea excluido de la enumeración de datos sensibles contenido en el artículo 2 inciso 5 de la Ley de Protección de Datos Personales.

3. Eliminar la tasa para Inscripción del Banco de Datos Personales 

Para la inscripción del banco de datos personales, la Autoridad de Protección de Datos Personales evalúa un formato con carácter de declaración jurada por un periodo de 30 días hábiles. Es decir, a través de un procedimiento de evaluación previa.

La figura comentada transgrede de manera manifiesta las políticas de simplificación administrativa del Estado, puesto que en aquellos procedimientos en donde se evalúa un formato de declaración jurada, debe prevalecer el principio de presunción de veracidad —y estar sujeto a una fiscalización posterior de ser el caso—. Además, el procedimiento administrativo debe ser uno de aprobación automática.

En ese sentido, consideramos que en este procedimiento no debería cobrarse tasa alguna. Tampoco debería existir un periodo de 30 días para evaluar una declaración jurada. Somos el único país, o uno de los únicos, en donde el procedimiento de inscripción de banco de datos tiene estas características.

4. Reconocimiento del Data Protection Officer (DPO)

En nuestro país, desde la expedición del Reglamento de la Ley de Protección de Datos Personales, la Autoridad de Protección de Datos Personales inició un activo trabajo de difusión de dicha normativa y las actividades de fiscalización necesarias para verificar el cumplimiento de la misma. No obstante, aún se necesita efectuar un arduo trabajo de difusión y concientización tanto el público en general como en el sector empresarial, pues aún existe mucho desconocimiento por parte de las personas naturales de sus derechos sobre esta materia, y de los responsables del tratamiento de datos personales sobre sus obligaciones. Esto se traduce en que, a la fecha, no existe por parte de estos últimos un verdadero compromiso con el cumplimiento de la referida normativa.

En efecto, en el Perú son pocas las empresas que han asumido un verdadero compromiso con el cumplimiento de la normativa de protección de datos personales y el respeto a dicho derecho. En la mayoría de casos, ese cumplimiento es considerado como un entorpecimiento o barrera para el ejercicio de la libertad de empresa. Hasta antes de la entrada en vigencia de la normativa, las empresas se empleaban un uso casi irrestricto o desproporcionado de la información personal de las personas para fines de inteligencia de negocios o de control de sus stakeholders.

En ese sentido, consideramos que la incorporación en la legislación peruana de la figura del Delegado de Protección de Datos Personales resulta conveniente para lograr el cumplimiento efectivo de la normativa de protección de datos personales. Se contaría con una autoridad independiente, pero integrante de la estructura organizacional de las empresas obligadas a cumplir con la misma, que genere conciencia y compromiso al interior de la empresa.

5. Incluir a la amonestación como sanción administrativa

En la actualidad, las sanciones administrativas que impone la Autoridad de Protección de Datos Personales son monetarias. Sin embargo, la nueva gestión pública establece que para generar conciencia a los administrados en relación al cumplimiento de sus obligaciones, es importante regular la amonestación como un tipo de sanción administrativa.

Tan es así esta sugerencia que se ha probado —tal como ha sucedido en los sectores de libre competencia y ambiental— que un llamado de atención a un administrado en el marco de un procedimiento sancionador, ha disminuido la ratio de incumplimientos. Creemos que el régimen de protección de datos personales no será la excepción.

En conclusión, consideramos adecuada la iniciativa del Gobierno de reforzar el marco normativo de la actual Autoridad Nacional de Protección de Datos Personales y de velar por la protección y respeto tanto del derecho a la protección de datos personales como de acceso a la información pública. Por otro lado, como se ha señalado, también resulta  importante la revisión de algunos aspectos de la normativa de protección de datos personales y la que regula el derecho de acceso a la información pública, de manera que se garantice la vigencia y eficacia de ambos derechos constitucionales.