Llegamos a ustedes gracias a:



Conversando con...

Diego Zegarra, socio del estudio de abogados Zegarra & Schipper

El tratamiento de los datos personales

Diego Zegarra, socio del estudio de abogados Zegarra & Schipper.

[21/04/2015] Desde el 7 de mayo próximo entrará en plena vigencia la Ley de Protección de Datos Personales, es decir, las empresas que no se encuentren preparadas podrían recibir fuertes multas por su incumplimiento.

Pero ¿qué nos permite y qué no nos permite esta ley? Para averiguarlo conversamos con Diego Zegarra, socio del estudio de abogados Zegarra & Schipper, quien nos ofreció abundantes luces sobre lo que esta nueva norma implica para personas y para empresas.

¿Tenía que haber una ley especial, no bastaba con la legislación existente?

En el Perú, el derecho fundamental a la protección de datos estaba ya establecido en el artículo 2, numeral 6, de la constitución del 93; fue la primera que incorporó ese tema. Se dice que éste es un derecho fundamental de tercera o cuarta generación que, si bien es cierto estaba en la Constitución y había un mecanismo como el habeas data para poder hacer valer este en caso de afectación, no tenía un marco normativo para el ejercicio de ese derecho.

Normalmente los derechos fundamentales hacen que las normas sean autoaplicativas, se supone que no deberían necesitar una reglamentación o regulación. Pero en el caso del derecho a la protección de los datos personales, sí es necesario un marco de actuación que le permite una serie de garantías a la persona natural que es titular de los datos personales, porque el derecho es un derecho de personas naturales, aquí están excluidas las personas jurídicas.

Entonces, sí era necesario tener ese marco normativo para garantizar el ejercicio del derecho, por un lado; pero también para que se establezcan una serie de obligaciones de quienes tratan esos datos personales. ¿Por qué? Porque en la protección de datos lo que se llama "tratamiento u "operación de datos es siempre reglado.

¿Qué significa esto? Siempre nos han dicho que todo lo que no está en la ley no está prohibido, pero en protección de datos solo se puede hacer con los datos aquello que la ley te permite hacer. Esto es algo singular y muy importante de tener en cuenta, porque no te dan per se, a ti que tratas datos de otras personas, una libertad para hacerlo; te marcan un entorno de obligaciones teniendo como punto de partida un elemento muy importante: El consentimiento.

Y esto porque la base del derecho fundamental está en reconocer a la persona la capacidad de control sobre sus datos. Esto significa que los datos no pueden ser utilizados o tratados de una manera que puedan estar afectando su esfera jurídica sin que previamente no tengan un consentimiento.

¿El consentimiento tiene que ser expreso para la función específica para la cual la empresa va a utilizar el dato?

Dentro de nuestro entorno normativo, nosotros hemos tomado el esquema europeo de protección de datos donde funciona el tándem de el "consentimiento y responsabilidad; a diferencia del ámbito norteamericano en donde nadie te pide consentimiento y donde funciona el tándem de "uso y responsabilidad. Ellos tienen sus propios controles, certificaciones y garantías para mantener indemne lo que ellos llaman la privacy, pero no hay una ley de protección de datos.

En cambio en Perú sí hay una ley, y el esquema básico de la ley está asociado con el tema del consentimiento.

El consentimiento, en principio, tiene que ser libre, obtenido de tal forma que no sea dudoso ni fraudulento, que lo haya entregado de manera expresa y que sea inequívoco; es decir, que cuando vas a manifestar tu voluntad de consentir no debes tener ninguna situación que te pueda inducir a una decisión equivocada, o no tengas algún elemento que limite tu libertad de decidir. Tiene que ser expreso, es decir, a través de las distintas formas que la ley reconoce de manifestación de voluntad como firmar, hacer clic, decir "sí por teléfono y estar grabado, firma electrónica o cualquier medio análogo que pueda tener la validez de un consentimiento; y el caso de datos sensibles siempre tiene que ser por firma escrita o medios análogos.

Pero además, el consentimiento tiene que tener características para ser válido. Si alguien te pide algo sin indicarte la finalidad para la cual recoge los datos, esa es una manera de recopilación válida e ilegal; entonces es necesario que se cumplan con una serie de pautas que la ley marca, porque la actividad misma de recopilación es una actividad de tratamiento de datos personales.

Y otro tema clave es que el consentimiento tiene que ser previo a cualquier tratamiento. No es que primero se puede recoger datos y luego te pidan consentimiento, primero te tienen que informar la finalidad para la cual recogen los datos.

¿Qué ocurre con las organizaciones que ya tienen bases de datos?

Aquí hay dos situaciones. Una es la anterior a la vigencia de la norma, en donde nadie tiene un entorno de obligaciones en relaciones a la manera de tratar los datos. Y otra es después de la vigencia de la norma.

El tema es ¿qué hago con aquello que tengo antes de la norma? En principio, uno lo que tiene que hacer es respetar el marco normativo; esto significa que si uno recopiló a través de medios perfectamente válidos datos personales para una finalidad concreta y los sigues utilizando para eso, ese sigue siendo un tratamiento legal y legítimo.

Pero si decides que esos datos que recogiste, por ejemplo, para hipotecas, los usas para ofrecer vehículos estás cambiando la finalidad para la cual recogiste los datos; y ahí sí tienes que incorporar un consentimiento para extender el tratamiento. Aunque no haya habido en su momento la ley.

Hay empresas que han estado pidiendo actualizar los datos a las personas y en base a ello recoger el consentimiento para extender incluso las formas de tratamiento.

En el caso de las organizaciones de servicios médicos ¿los datos de salud tienen el tratamiento de datos personales?

Sí, pero no solo son datos personales sino datos personales sensibles. La ley tiene dos ámbitos, el de datos generales y el de datos sensibles. Dentro de los generales, están los datos identificativos, económicos, actividades sociales, etcétera; y dentro de los datos sensibles están los datos de salud.

La gran diferencia se encuentra en principio al consentimiento. Estos datos solo pueden ser tratados a través de un consentimiento expreso, pero otorgado con firma manuscrita o medios análogos. Esto significa que nadie puede pedirte consentimiento para tratar estos datos por teléfono. Nadie puede recoger datos de salud o datos médicos y pedirte tu autorización por teléfono, siempre tiene que ser por escrito o medio análogo como la firma electrónica.

De hecho, en el ámbito médico hay una serie de condiciones especiales respecto al tratamiento de datos, porque son datos sensibles y por ello cualquier afectación que se pudiera producir en el tratamiento genera un mayor impacto en la esfera íntima de las personas.

Entonces ¿los datos son propiedad de la persona? ¿Puedo pedir a una institución saber si ellos tienen datos míos?

Sí, claro. Por eso era necesario desarrollar toda la ley, porque precisamente el punto de partida es reconocer que el único titular -no el sentido patrimonial, por supuesto- es la persona respecto a quien concierne la información.

El tema de la 'propiedad' de los datos que tenían las empresas se ha esfumado con esta ley. Nadie puede decir que es dueño de un banco de datos, es dueño del repositorio o del soporte, pero los datos que están dentro, su titularidad es de otras personas, aunque uno tenga la autorización de recopilarlos y tratarlos. Antes las empresas creían que eran dueñas de esos datos.

Y uno puede preguntar a una organización si tiene datos de uno. Para eso se han articulado lo que se denominan los derechos ARCO (acceso, rectificación, cancelación y oposición). Además, en nuestra legislación, junto con la rectificación se encuentra el derecho de actualización o de inclusión de datos; junto con la cancelación está el derecho de supresión; y otros.

Efectivamente, la norma ha establecido procedimientos específicos al interior de cada entidad para que uno pueda ejercer esos derechos. Por ejemplo, si tu mañana vienes a mi estudio de abogados y presentas una solicitud preguntando si tenemos algún dato sobre ti, nosotros estamos obligados -así no tenga un dato tuyo- a responderte, porque la ley establece esa obligación. Si la empresa no responde se le sanciona, tiene que atender los derechos ARCO.

¿Uno podría ir a una institución médica y pedir la historia clínica para que la vea otro profesional?

Las personas puedes disponer de esa información, puedes hacerlo por el ejercicio de los derechos ARCO. Lógicamente, hay una razón por la que la institución conserva esa información, y yo les puedo pedir una copia de todos esos datos porque son mis datos personales.

¿Qué tienen que hacer las organizaciones para custodiar estos datos?

Las organizaciones no solo tienen que ver los datos de sus clientes y proveedores, no solo su frente externo, también su frente interno. Tienen que ver los datos de los trabajadores, tienen que identificar procesos e incorporarles medidas de seguridad, legales, técnicas y organizativas; es decir, todo ese entorno que la ley establece tienen que adecuarlo tanto para los datos de clientes o proveedores, en el caso de las personas naturales. Y tienen también un frente importante que son sus trabajadores, y uno trata datos desde que se selecciona al trabajador y cuando se ejecuta la contratación, uno tiene que poner una serie de medidas para el control de esta información.

Las organizaciones además captan información cuando tienen sistemas de videovigilancia o controles de acceso, hay muchos procesos en donde se tiene que poner el interés por parte de las organizaciones.

¿Estos reglamentos toman en cuenta el tamaño de la organización y de la base de datos que manejan?

Hay que tomar como referencia la directiva de seguridad. El Perú es uno de los pocos países que tienen directiva de seguridad. La directiva de seguridad es un marco de referencia legal, técnico y organizativo para la implementación de medidas de seguridad que garanticen el tratamiento adecuado de los datos personales.

La directiva establece criterios para dimensionar la obligatoriedad de aplicación de medidas y tiene parámetros. Te dice que entre 5 y 50 registros de un banco de datos, estamos hablando de un banco de datos de nivel básico; entre 50 y 100 es de nivel simple; entre 100 y mil es de nivel intermedio; y de mil en adelante puede ser complejo o crítico. En base a esto, marca de qué manera deben incorporarse las medidas de seguridad.

Te confieso que desde mi punto de vista, yo podría tener en mi teléfono más de mil registros, entonces, esta directiva funciona a nivel complejo o crítico en la mayoría de las empresas.