Por Andrea Pulgar, especialista en Nuevas Tecnologías y Protección de Datos Personales y abogada a cargo del Área del mismo nombre en GRAU Abogados.
El pasado 7 de enero, fue publicado el Decreto Legislativo N° 1353 en el Diario Oficial El Peruano, en ejercicio de las facultades legislativas otorgadas mediante la Ley 30506. La delegación tenía como finalidad la creación de la Autoridad Nacional de Transparencia y Acceso a la Información Pública para garantizar el derecho al acceso oportuno y transparente de la información pública, así como la protección de los datos personales.
En lo que respecta a la reestructuración y fortalecimiento del marco normativo de la actual Autoridad Nacional de Protección de Datos Personales, la norma en mención se ha quedado únicamente en “buenas intenciones”. Es así porque además de incorporar algunos supuestos relacionados a la prevención del lavado de activos, básicamente se limita a precisar que las obligaciones que se le atribuían al encargado del banco de datos le corresponden al “encargado del tratamiento de datos personales”.
A continuación, un breve comentario respecto de los cambios introducidos por el Decreto Legislativo N° 1353 a la Ley- Ley de Protección de Datos Personales (en adelante, «la Ley”):
1. En relación al tratamiento por encargo
En primer lugar, la modificación del artículo 2, incisos 7 y 8, introduce la figura del “encargado del tratamiento” y “encargo de tratamiento” respectivamente, precisándose que:
“Encargado de tratamiento: Es toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales” (el subrayado es nuestro).
“Encargo de tratamiento: Entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales”.
Ambas modificaciones ya habían sido introducidas en el Decreto Supremo 003-2013-JUS – Reglamento de la Ley 29733; sin embargo, hubiera sido importante que también se recogiera en las modificaciones legislativas la disposición de que “el tratamiento por encargo no constituye transferencia de datos personales”, y en consecuencia, no se requiera consentimiento del titular del dato personal para su realización.
Hubiese sido importante que esta modificación sea incorporada en la norma en mención, pues se trata de un concepto esencial que debería encontrarse regulado en la Ley y no en el reglamento como actualmente sucede (artículo 36 del Reglamento). Ello debido a que implica una ficción en el sentido que si bien en el tratamiento por encargo hay una comunicación o acceso efectivo de los datos personales del titular del banco de datos o responsable del tratamiento al encargado del tratamiento, por tratarse de la tercerización de una actividad, el gobierno y responsabilidad respecto de los datos personales se mantiene en el titular del banco de datos o en el responsable del tratamiento, que es quien decide y delimita el alcance de lo que el encargado del tratamiento puede hacer. En caso contrario, sería muy complicado que cada vez que un titular del banco de decida tercerizar alguna actividad, deba obtener el consentimiento del titular del datos. Esto haría imposible una actividad lícita y económicamente eficiente como es la tercerización de actividades.
Por otro lado, la modificación a los artículos 12, 15, 18, 20, 21, 22, 24, 25 y 27 de la Ley, precisan que las disposiciones reguladas en dichos artículo se aplican tanto a los titulares de bancos de datos como a los encargados del tratamiento de datos personales. En las versiones originales se atribuían al “encargado del banco de datos”, en lugar de al encargado del tratamiento. La figura del encargado del banco de datos ha sido eliminada de las definiciones, aparentemente por su poca trascendencia.
2. Excepciones al consentimiento
En relación a este punto, la modificación del artículo 14 de la Ley ha introducido acertadamente como una excepción al consentimiento el tratamiento de aquellos datos personales que sean necesarios para la preparación y celebración de una relación contractual. La versión original de este artículo únicamente contemplaba como excepción al consentimiento, el tratamiento de datos personales necesarios para la ejecución de una relación contractual, dejando de lado toda la etapa precontractual para la cual si se necesitaba tener consentimiento. Esto resultaba contrario a la fluidez necesaria en la etapa de negociación y suscripción del contrato.
Lógicamente, de la mano con el fortalecimiento del sistema de prevención de lavado de activos, introducido por el decreto legislativo Nº 1249, también se han incluido como excepciones en los incisos 10 y 11 del artículo 14, el tratamiento de datos personales para fines de prevención de lavado de activos y financiamiento del terrorismo, incluida la transferencia de datos personales entre empresas de un mismo grupo económico consideradas como sujetos obligados a informar conforme a las normas que regulan la Unidad de Inteligencia Financiera.
Finalmente, también se ha incluido acertadamente, como excepción al consentimiento, el tratamiento de datos personales cuando este se realiza en ejercicio constitucionalmente válido del derecho fundamental a la libertad de información.
Consideramos que hubiera sido importante que se incluyera, dentro de las excepciones al consentimiento, aquellas transferencias de datos personales producidas como consecuencia de una actividad de reorganización empresarial. La norma actual no dice nada al respecto, y en principio, por tratarse de una transferencia se requeriría consentimiento.
3. Precisión del contenido del Derecho a de Información
Respecto de este punto, el Decreto Legislativo N° 1353 ha precisado el contenido del derecho de información. Precisa dos supuestos en los cuales el titular del banco de datos o encargado del tratamiento deben informar al titular de datos: (i) Cuando se produzca un encargo de tratamiento posterior a la obtención del consentimiento, el titular del banco de datos debe proporcionar información relacionada al nuevo encargado del tratamiento; (ii) Cuando se produzcan supuestos de transferencia de datos personales por fusión, adquisición de cartera o supuestos similares, el nuevo titular del banco de datos debe informar sobre la nueva encargatura.
En el segundo supuesto, la norma debió referirse al deber del nuevo titular del banco de datos de informar sobre esta nueva titularidad, y no únicamente sobre los nuevos encargos de tratamiento.
4. Sobre la tipificación de las Infracciones
En relación a este punto la versión original del artículo 14 de la Ley, no solamente establecía la clasificación de infracciones, sino que además tipificaba las conductas infractoras. Con el cambio introducido, se ha eliminado la tipificación de las infracciones y se ha dejado al reglamento dicha responsabilidad, remisión que consideramos no responde a un interés de fortalecer el régimen de protección de datos personales.
5. Modificaciones pendientes
Consideramos que el Decreto Legislativo 1353 fue la oportunidad precisa para corregir algunos vacíos de la Ley que han sido evidenciados con su puesta en práctica desde su vigencia, como por ejemplo la inconsistencia de considerar a los ingresos económicos como datos sensibles, la imposibilidad de obtener el consentimiento expreso para el caso de captación de imágenes mediante cámaras de videovigilancia, o la eliminación de la tasa por inscripción que podría ser considerada una barrera burocrática.
Sin embargo, quizá la modificación más trascendental pudo ser la creación de una autoridad independiente que garantice el respecto efectivo del derecho a la protección de datos personales. Esto había sido contemplado en el proyecto normativo, que disponía la creación de una “Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales” con personería jurídica de derecho público interno, y con autonomía técnica, funcional, económica, administrativa y financiera.
Obviamente esta autoridad no sólo iba a velar por el respeto del derecho a la protección de datos personales, sino por la garantía efectiva del derecho de acceso a la información pública, por lo que no entendemos la razón por la cual este proyecto no fue aprobado. Probablemente la garantía de ambos derechos no resulta tan conveniente para los fines de “luchar de manera efectiva” contra la corrupción.
Finalmente, es importante recordar que tanto la lucha efectiva contra la corrupción como la garantía del derecho a la privacidad o protección de datos personales son principios postulados por la OCDE –Organización para la Cooperación y el Desarrollo Económicos–, organización a la cual Perú pretende ingresar algún día, por lo que consideramos que estos cambios legislativos debieron ser tomados con mayor seriedad.