Llegamos a ustedes gracias a:



Reportajes y análisis

Ley de Protección de Datos Personales

¿Ya está preparado?

José Quiroga, director general de Protección de Datos Personales del Ministerio de Justicia.
Ley de Proteccin de datos personales

[07/07/2015] Existen muchas preguntas sobre lo que las empresas deben hacer para cumplir con la Ley de Protección de Datos Personales. Recientemente (el 8 de mayo pasado) se cumplió el plazo de dos años para que las firmas implementen las medidas de seguridad en los bancos de datos que ya existían al 8 de mayo del 2013 y la fecha causó que se tejieran versiones diferentes sobre lo que esta fecha indicaba y sobre cómo cumplir con la ley.

Para resolver estas dudas conversamos con José Quiroga, director general de Protección de Datos Personales del Ministerio de Justicia, el ente encargado oficialmente de este tema. Lo que nos dijo no solo aclaró bastantes de las dudas que teníamos sino también nos ofreció luces sobre la verdadera naturaleza de la institución que dirige. Su objetivo no es perseguir ni poner multas -nos indicó- sino orientar y guiar a las empresas para que éstas hagan un correcto uso de los datos de los ciudadanos.

Si desea saber más le invitamos a leer lo que nos dijo en la entrevista, pero también a visitar el sitio web de la Dirección en donde encontrará bastantes materiales y herramientas para guiarlo en el cumplimiento de esta norma.

¿Las empresas se están comenzando a adecuar a la ley? ¿Les están haciendo consultas sobre sus dudas?

Hay muchas consultas, nuestro principal trabajo en los dos primeros años ha sido de orientación a todos los concernidos por la ley; es decir, las entidades públicas, las personas naturales y las empresas, las cuales ocupan un espacio muy grande en cuanto a consultas y preocupaciones, y les hemos llevado mucha capacitación.

¿Y cuál diría que es la consulta más común?

La más común no es una consulta sobre un tema puntual de la ley, son preguntas varias que demuestran el desconocimiento de la ley. Más que consultas, hay inquietudes sobre de qué se trata esto, incluso previas a la lectura de la ley; es decir, personas que consultan sin haber leído la ley a pesar de que este tema se encuentra presente en la constitución desde el 93, tiene una ley vigente desde el 2011 y una autoridad con plenas funciones desde el 2013.

Ya nos encontramos en el 2015 y muchas empresas todavía expresan que desconocen que esto existe y eso ya no es algo que nosotros podamos subsanar, no es responsabilidad de la autoridad que las empresas conozcan o no, o cumplan o no una norma que es obligatoria para todos. Pero, sin duda, trabajamos dando orientación a quienes lo necesitan.

¿Esta ley abarca a casi todo tamaño de organización?

Sin el "casi, abarca a todas las organizaciones.

Pero no todas cuentan con los mismos recursos que se piden para dar seguridad a los datos.

Es que ahí hay un error básico, la ley no pide las mismas medidas a todas, eso no es cierto. Quien le diga eso, le está mintiendo. No le vamos a pedir a una microempresa que desarrolle las actividades en función de las medidas de seguridad que le pedimos a una corporación.

Para ello existe una Directiva de Seguridad de la Información, dada por la Autoridad, que permite a las empresas pequeñas, medianas y grandes evaluar su propia situación; es decir, determinar qué tipo de banco de datos manejan, si es Básico o Crítico, o lo que fuera, y a partir de esa identificación desplegar las acciones que corresponden a ese tamaño y a esa dimensión. Esta ley y la directiva son muy claras en proporcionar, a quienes tienen que cumplirla, la posibilidad de 'hacer su ropa a su medida', lo otro sería absurdo.

¿Cuál es su función en la supervisión del cumplimiento de esta ley?

En setiembre del año pasado empezamos a supervisar, a todos los concernidos, y estos pueden ser personas naturales, personas jurídicas o entidades estatales. Cuando se habla de tamaño puede estar hablando de facturación, de número de colaboradores, de presencia en el mundo, pero eso es irrelevante en cuanto a la posibilidad de afectación de la privacidad.

Los criterios para evaluar el riesgo de afectación de la privacidad tienen que ver con el volumen del tráfico de datos, con la calidad del dato (es decir, si son datos generales o son datos sensibles) o con la vocación o no de transferencia. Por ejemplo, un médico con 50 pacientes si divulga información del antes y el después de las características de un tratamiento de cirugía estética puede hacer un daño muy grande, y no maneja información masivamente. Depende de la sensibilidad de la información.

Ciertamente, los riesgos más grandes van a estar en el lugar donde se manejan masivamente datos, y si combinas masivo con sensible el resultado es un producto mayor. Pero nosotros supervisamos a todos, no tenemos un área específica a la cual supervisamos con mayor énfasis.

¿Se han encontrado empresas que no se han adecuado a la ley?

Sí, pero hay conceptos que se deben aclarar. "Adecuarse a una ley supone hacer cosas para cumplir con ella. Lo que esta ley ha ofrecido es un plazo de dos años de gracia para adecuar las medidas de seguridad de los datos, no para 'adecuarse' a la ley. La ley no tiene plazos de adecuación, la ley entró en vigencia y hay que cumplirla.

Lo que hemos encontrado es que la inscripción de los bancos de datos tiene un alto nivel de incumplimiento, y aquí tampoco hay adecuación, tiene que inscribirlos. Muchos de los fiscalizados no han cumplido con inscribir los bancos. Diría que más del 70% de los fiscalizados no han inscrito los bancos al momento de ser fiscalizados, pero casi todos los han inscrito luego de ser fiscalizados, lo cual es un atenuante. Reconocer su falta les permite reducir la multa incluso por debajo del mínimo establecido en la ley.

¿Y cuántos bancos de datos tendrán ya registrados?

Teníamos algo más de mil hasta el 8 de mayo, ese día se inscribieron 1.800 aproximadamente, y desde entonces están registrándose entre 600 a 800 diarios, estamos sobresaturados de inscripciones.

¿Y esto a qué se debe?

No sé por qué alguien afirmó que el 8 de mayo vencía el plazo de inscripción; en realidad, la obligación de inscribir los bancos está vigente desde el 8 de mayo del 2013, sigue vigente ahora y seguirá vigente en adelante.

¿Pero entonces que ocurría el 8 de mayo?

El 8 de mayo se vencían los dos años de plazo para la implementación de las medidas de seguridad en los bancos de datos que ya existían al 8 de mayo del 2013. Pero a alguien se le ocurrió afirmar que el 8 de mayo comenzaba a regir la ley, o que era plazo para inscribir los bancos.

Eso generó un serio problema de desinformación-no de falta de información pues tenemos abundante material en la web- entendida como el hecho de que existen operadores y asesores que están diciendo cosas que no son ciertas, al menos desde el punto de vista de la Autoridad que es la que dicta las normas porque es su función. Se están inventando cosas que no son ciertas y generando a los empresarios temores y miedos que no se justifican.

¿Qué otras 'inexactitudes' ha encontrado que tienen las empresas con respecto a la información?

Dos centrales. Una que el núcleo de esta autoridad es salir a poner multas, eso no es cierto. Las multas hay que ponerlas cuando se encuentra una infracción pero nuestra actividad tiene que ver con lograr que el Perú construya y ejecute una cultura de protección de la privacidad, las multas son un elemento adicional. Esta no es una entidad que se dedique a fiscalizar para poner multas, es una autoridad que se dedica a proteger un derecho fundamental.

Y la otra es que se le ha dicho a muchos empresarios que esta ley los obliga a renovar toda su base de datos de clientes y eso no es cierto, porque las empresas que ya tienen establecida una relación contractual con un cliente tienen derecho a realizar los tratamientos de la información necesarios para atender a sus clientes sin necesidad de pedir consentimiento. Es decir, existe una excepción al principio del consentimiento para el caso de quienes mantienen una relación contractual establecida.

Pero hay quienes les han dicho que tienen que renovar todos sus bancos de datos y pedir consentimiento a todos sus clientes, y eso no es verdad. Para atenderlos con los servicios que brinda la compañía no es necesario el consentimiento, si quieren realizar otras actividades con la información sí tienen que pedir consentimiento o si quieren utilizar información de quienes no son sus clientes. Pero esas son decisiones empresariales, si deciden abrir una línea de negocio con la información de sus clientes, tienen que pedirles permiso.

¿Y si un banco con el que tengo una cuenta desea enviarme novedades sobre otros servicios?

Para hacer eso sí tiene que pedir permiso, porque eso no está en la relación contractual. Y ni el banco, ni la empresa, ni un ente estatal, ni nadie, puede pasar por encima del derecho que tenemos nosotros de decidir si queremos o no que utilicen nuestro banco de datos.

¿Las organizaciones tienen que demostrar de dónde han obtenido la información de sus bancos de datos?

Depende.

Una organización puede comprar una base de datos.

Si en esa compra has infringido la ley, lo que se va a tener es un problema porque al momento de acreditar cómo la obtuviste vas a demostrar que cometiste un delito. Comprar bases de datos extraídas de una empresa es un delito, pero ese es el mundo penal.

En la parte administrativa el principio es el siguiente: Puedes obtener los datos personales de alguien de forma legítima si los obtuviste de fuente pública, pero el consentimiento es algo distinto. La fuente pública te exonera del consentimiento para tomar los datos, pero no para realizar alguna acción con ellos; necesitas del consentimiento para hacer algo con esos datos.

Lo que se puede hacer, y la Autoridad lo ha dicho ya al absolver una consulta, es que puede tomar contacto con las personas para pedir su consentimiento. La información se tiene que obtener de manera lícita y luego el consentimiento también se tiene que obtener de manera lícita.

¿Puedo entonces obtener la información de Facebook y luego pedir el consentimiento?

Hay que hacer una precisión. La información de las personas nunca es pública, es información personal que puede estar en una fuente de acceso público, es distinto. Fuente de acceso público no es lo mismo que fuente de información pública.

¿Facebook es una fuente de información pública?

Depende de su perfil. Si tiene un perfil Público no puede pedir que se proteja su privacidad porque usted lo has hecho público. Pero si tiene un perfil para compartir sólo con sus amigos, quien no es su amigo no debería entrar a su Facebook; incluso sus amigos no están en capacidad de tomar su información y compartirla.

Pero si el perfil es Público ¿una empresa puede tomar esos datos?

Sí, pero tendría que tener su autorización para hacer algo con esos datos. Y esto no tiene que ver con cortar el flujo de la información, sino con respetar la decisión del ciudadano en relación al control que tiene sobre su información.

Ustedes tienen una directiva de seguridad y es en base a ella que las empresas de diversos tamaños pueden ver qué les corresponde hacer.

La directiva de seguridad no es obligatoria, no es que se tenga que cumplir con ella, hay que cumplir con la ley y el reglamento. Para unos significará poner una contraseña, para otros establecer protocolos, y para otros más establecer copias de respaldo y otras herramientas dependiendo de su complejidad, pero la ley les indica a dónde deben llegar.

Lo que hace la directiva de seguridad es decirle que al punto donde debe llegar en cuanto a la seguridad llega como quiera, pero si no tiene idea de cómo hacerlo, ahí tiene una ayuda. La directiva le sugiere qué hacer para llegar al punto, pero puede llegar como quiera, es un facilitador, una guía de cómo hacer las cosas si es que necesita esa ayuda. Si no la necesita no hay problema, nosotros no verificamos el cumplimiento de la directiva.

Si hay algo que es clave es que las disposiciones para la protección de datos, incluyendo las medidas de seguridad, tratamientos y transferencias, tienen que ser tecnológicamente neutrales; es decir, no es que se tenga que comprar cierto software, lo importante es tener un resultado y ese resultado lo logra uno como pueda y como quiera.

Las herramientas que hay en "Data en Línea que se encuentran en su web, ¿sirven para identificar en qué estado se encuentra uno?

La idea es -y ojalá lo hayamos conseguido- que uno haga una suerte de autodiagnóstico, completamente anónimo sin necesidad de exponer su situación en cuanto a las medidas de seguridad. Pero, además, tiene una finalidad secundaria que no es poco importante: Que se acerque al cumplimiento de la ley.

Según uno va llenando el Data en Línea se va enterando de cosas, porque la herramienta le enlaza con conceptos que están en la Ley y el Reglamento, y es en muchos casos el primer acercamiento que uno tiene a cómo cumplir con la Ley. Eso es importante y ojalá sea usado masivamente.

Jose Antonio Trujillo, CIO Perú