La falta de seguridad en la obtención de antecedentes penales, policiales y judiciales

"Cualquier persona puede entrar a las plataformas de emisión de los certificados y solo con algunos datos del DNI puedes obtenerlos sin que haya una adecuada verificación de la identidad del solicitante, evidenciando la falta de seguridad que hay en la obtención de los documentos".

0
647

Por Sebastián Cortés

Abogado titulado por la Universidad de Lima con experiencia en Protección del Consumidor, Propiedad Intelectual, derecho digital, derecho administrativo y protección de datos personales.

Los certificados de antecedentes penales y judiciales son documentos oficiales emitidos por autoridades nacionales, en los cuales se certifica información sobre procesos judiciales, condenas, ingresos a establecimientos penitenciarios, etc. de personas nacionales o extranjeros.

En buena cuenta, el certificado de antecedentes penales, emitido por el Poder Judicial, indica si una persona tiene o ha tenido sentencias condenatorias; mientras que, el certificado de antecedentes judiciales es emitido por el Instituto Nacional Penitenciario (INPE) y certifica si estás o has estado recluido en un Establecimiento Penitenciario (interno) o si has realizado trabajos comunitarios impuestos por la autoridad judicial. Por último, el certificado de antecedentes policiales, emitido por la Policía Nacional del Perú (PNP), confirmará si tienes antecedentes provenientes de delitos y faltas previa investigación policial.

Estos documentos son de vital importancia al momento de buscar empleo y cuando buscas adquirir alguna calidad migratoria en el extranjero, ya que tanto los empleadores como las entidades migratorias suelen solicitar estos documentos para conocer más del pasado del postulante.

Desde hace unos años, estos certificados pueden ser tramitados de manera virtual, a través de las plataformas que las entidades han puesto a disposición, generando un gran beneficio a la comunidad; respecto del tiempo y esfuerzo que significaba antiguamente ir , de manera presencial, a las pocas oficinas a hacer el trámite.

Respecto de la naturaleza de estos documentos, estos son de carácter reservado; por tanto, el procedimiento de obtención de los certificados es exclusivo para los titulares de la información y/o sus representantes debidamente acreditados con una carta poder simple, incluso, la validación de identidad tiene carácter de declaración jurada. Es decir, en principio, un tercero interesado no podrá solicitar directamente dicho certificado a la entidad, ni podrá obtenerlo por otros medios que no sean los canales oficiales.

Además del carácter reservado del procedimiento, estos certificados contienen datos personales que no deben ser sujetos de tratamiento sin la autorización expresa de sus titulares, de acuerdo con la Ley de Protección de datos personales (en adelante, “la Ley”)1 y su reglamento (en lo sucesivo, “el Reglamento”)2:

Ley:

Artículo 19. Tratamiento de datos personales.

Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales” (subrayado agregado)

Artículo 5. Principio de consentimiento:

Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

Artículo 13°, inciso 13.5

Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.

Reglamento:

Artículo 7. – Principio de consentimiento.

En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones, deberá manifestarse en forma expresa y clara.

Artículo 132.- Infracciones

  1. Son infracciones graves:

(…)

b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nº 29733 y su Reglamento (…)

En virtud de lo anterior, es evidente que cualquier uso de datos personales que implique el tratamiento de los mismos debe tener, necesariamente, el consentimiento expreso del titular, calificando su ausencia como una infracción grave.

Pese a la establecido en las normas de datos personales y al carácter reservado que se ha dado a los procedimientos, en la práctica, obtener dichos certificados a través de los canales virtuales es muy fácil, lo que facilita a las empresas, o terceros, la recopilación de estos.

Así, actualmente, cualquier persona puede entrar a las plataformas de emisión de los certificados y solo con algunos datos del DNI puedes obtenerlos sin que haya una adecuada verificación de la identidad del solicitante, evidenciando la falta de seguridad que hay en la obtención de los documentos materia de análisis, debilidad que ha generado casos como el que expongo a continuación:

En la reciente resolución Directoral N° 037-2023-JUS/DGTAIPD-DPDP emitida por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, se sanciona a la empresa Solgas S.A. por haber hecho tratamiento de datos personales, en particular recopilación de antecedentes penales, judiciales y policiales de postulantes a puestos laborales en la empresa de forma ilícita.

En concreto, Solgas había contratado un sistema digital que brindaba la información contenida en los certificados de los antecedentes mencionados, por ende, decidió sancionarla con una multa ascendente a S/. 308,533 (trescientos ocho mil quinientos treinta y tres Soles)

A grandes rasgos, la autoridad arribó a las siguientes conclusiones:

  • El trámite de obtención de certificados de antecedentes penales, judiciales y policiales se ha reservado únicamente para los titulares y/o sus representantes.
  • Se restringe el tratamiento de los datos personales relativos a antecedentes penales, judiciales y policiales a entidades públicas cuyas competencias lo avalen, siendo estas las únicas fuentes legitimas para obtener tal información.
  • Los certificados en cuestión contienen datos personales.
  • Recopilar y almacenar datos personales por mecanismos no autorizados y/o sin el consentimiento del titular contravienen los artículos 4° y 28° inciso 3 de la LDPD3 configurando una infracción administrativa de acuerdo al artículo 132° del Reglamento4

Aunado a ello, cabe traer a colación que en el 2022 sucedió un caso similar recaído en el Resolución Directoral N° 1022-2022-JUS/DGTAIPD-DPDP, en la que se animan a interpretar las bases del por qué los datos que contienen los certificados tendrían carácter de personales:

80. Como se desarrolló en la segunda cuestión previa, la restricción al tratamiento de información sobre antecedentes penales, policiales y judiciales tiene como base la protección de las personas ante el riesgo de tratamientos de datos personales que implique una vulneración de la presunción de inocencia y consecuentemente, implique actos de discriminación en su contra.

De acuerdo a lo expuesto, queda en evidencia lo fácil que es obtener los certificados a través de las plataformas digitales, trayendo como consecuencia que algunas empresas los recopilen a través de otras empresas o softwares no autorizados siendo esto una práctica sancionable por lo puntos antes esgrimidos.

Es importante recalcar que el análisis y la decisión de la ANDP no debe agotarse con una investigación y sanción al administrado denunciado, sino que, también, debe extender de oficio su investigación a las entidades públicas involucradas por las medidas de seguridad correspondientes para la protección de los datos personales.

Respecto al deber de seguridad de los titulares de los bancos de datos (en este caso las entidades emisoras de los certificados), se han emitido los siguientes documentos y normas:

  • La Directiva de Seguridad de la ANDP, la cual, establece medidas de seguridad que deben adoptar las organizaciones para el correcto tratamiento de datos personales que estas almacenen.
  • La Ley, en sus artículos 9° y 16°, estableciendo de forma general que los titulares de bancos de datos personales deben implementar las medidas de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado.
  • El reglamento, en sus artículos 10°, 35°, 39°, 40°, 132° inciso 1A. Si bien también establecen la obligación de adoptar medidas de seguridad, para el caso bajo análisis cabe resaltar los siguientes:

Artículo 39.- Seguridad para el tratamiento de la información digital.

Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento:

  1. El control de acceso a la información de datos personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuario contraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad.

(…)

Artículo 132.- Infracciones Las infracciones a la Ley Nº 29733,

Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.

  1. Son infracciones leves
  2. a) Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.

(…)

Conforme a lo anterior, es evidente que la ANDP ha puesto especial énfasis en las medidas de seguridad que debe implementar todo aquel que haga tratamiento de datos personales, calificando incluso como una infracción muy grave el incumplimiento de este deber.

En consecuencia de lo mencionado, es un hecho que, frente a esta posible falta de seguridad en el caso expuesto, la ANDP debe adoptar las investigaciones necesarias para determinar si existe alguna infracción al deber de seguridad.

Asimismo, la ANDP debe enfatizar más sobre la aplicación de la norma de datos personales en las otras entidades públicas, puesto que, posterior a la resolución comentada, increíblemente la Presidencia del Consejo de Ministros ha lanzado, el 15 de enero de 2024, los Términos de Referencia para la Contratación de Servicios en General N° CCMN 02090, para contratar empresas que brinden el servicio de obtención antecedentes penales, judiciales y policiales.

Por último, desde mi tribuna, considero que, la ANDP viene realizando un correcto trabajo de fiscalización sobre la protección de datos personales en las empresas. Sin embargo, esto debe complementarse con un rol más educativo ejecutando diversas campañas que permitan que las empresas, entidades públicas y ciudadanos tengan un mejor desenvolvimiento en esta materia. He podido ver en mi práctica que pocas empresas toman en serio estos asuntos y solo toman acción cuando son fiscalizados o cuando se enteran de la existencia de las multas.

 


Referencias:

1Artículo 5°. Principio de consentimiento Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

Artículo 13°, inciso 13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El  consentimiento debe ser previo, informado, expreso e inequívoco.

2 Artículo 7.- Principio de consentimiento. En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato  personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea  expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el  consentimiento prestado con otras declaraciones, deberá manifestarse en forma expresa y clara

3 “Artículo 4. Principio de legalidad El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.”

“Artículo 28°. Obligaciones El titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes obligaciones: (…) 2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos.”

4 Artículo 132.- Infracciones: Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.

  1. Son infracciones leves

(…) b) Recopilar datos personales que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos.