Llegamos a ustedes gracias a:



Reportajes y análisis

La protección de los datos en el Perú

Los datos personales deben protegerse, eso queda claro. Pero también debe quedar en claro que al hacerlo no se afecte la competitividad del país a través del establecimiento de una normativa de cumplimiento complicado o costoso.
Ese fue básicamente el mensaje que nos presentó el Comité de la Industria de Tecnologías de la Información y Comunicaciones de la Sociedad Nacional de Industrias (SNI) a través de Antonio Ramírez-Gastón, presidente del Comité, y Erick Iriarte, coordinador de Aspectos Legales del Comité.
Su posición se resume en siete puntos que compartieron durante una reunión con la prensa.
Antecedentes
El reglamento es el punto final de una serie de actividades que Erick Iriarte rastrea hasta inicios del presente milenio. Todo comenzó con discusiones que generaron debates más formales en el 2003 al interior de la Presidencia del Consejo de Ministros (PCM), para luego pasar a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI).
Con la llegada del APEC (Asia-Pacific Economic Council) y de uno de sus grupos de trabajo -el Privacy Framework- perteneciente al Comité de Comercio Electrónico se decidió en el 2007 trasladar las discusiones al Ministerio de Justicia donde se decidió establecer una ley.
La Ley de Protección de Datos Personales (29733) fue aprobada en el 2010 por el Consejo de Ministros y se presentó en la segunda mitad de ese mismo año ante el Parlamento. Éste comenzó los debates a inicios de marzo del 2011 y a finales de abril la ley fue aprobada por la Comisión de Justicia y en junio por el Pleno. El 3 de julio es firmada por el presidente Alan García.
Luego de la ley es necesario un reglamento. En diciembre del año pasado se produjo una audiencia pública a la que asistieron aproximadamente una veintena de organizaciones para opinar sobre el reglamento; y el 12 de abril próximo concluirá la etapa de comentarios finales a la pre publicación del mismo.
El proyecto de reglamento contiene 41 hojas en las que se presentan los siete Títulos y los 14 Capítulos en los que se encuentra dividido, y en él se establece el tratamiento de los datos personales, los derechos del titular de los datos personales, las obligaciones del titular y del encargado del banco de datos personales, el Registro Nacional de Protección de Datos Personales, y las infracciones y sanciones.
Ante ese documento, la SNI hizo algunas observaciones con respecto a lo que no debería hacer el reglamento.
Los siete puntos de la SNI
Uno de los temas que más nos preocupa sobre este ley y su reglamento es que como toda ley, norma o reglamento, debe estar orientada siempre a como mejorar la productividad y a apoyar al desarrollo del país, sostuvo Ramírez-Gastón.
Y en base a esa preocupación es que han establecido algunos puntos en los que es necesario aclarar el reglamento. De hecho, el primer punto es el referente a la competitividad.
1. No debe afectar la competitividad del país. Un celo reglamentarista termina afectando la competitividad y es claro que la meta 45 de la Agenda de Competitividad señala que los datos sean de acceso abierto para el sector público; se necesita entonces que se esclarezca claramente cuáles son las bases de acceso público para que también las instituciones privadas puedan utilizarlas.
Por ejemplo, la Superintendencia Nacional de Aduanas y Administración Tributaria (Sunat) tiene una base de datos de quiénes son morosos con ella. Si la norma no es clara no se podría compartir esta base con las centrales de riesgo financiero.
2. No debe impedir la innovación y el desarrollo de la industria en todas sus vertientes. Esto afecta tanto la industria de contenidos como a otras industrias. Por ejemplo, si la industria medica encuentra que el reglamento termina siendo demasiado engorroso en su aplicación, no tendría incentivos para la generación de nuevos servicios relacionados. Esto también podría afectar al pequeño médico de consultorio.
3. No debe buscar un reglamentarismo exagerado que termine afectando actividades vigentes. Por ejemplo, ya existe una ley para las centrales de riesgo y una normativa de telecomunicaciones que habla sobre el secreto de las comunicaciones; en general, existen normativas sectorizadas que también deben respetarse.
La ley es clara, esto va a afectar a todos y van a tener que adecuarse, pero la propuesta del reglamento es aun más clara en decir que todos se van a tener que regir por esta norma y que las normas especiales, hay que restructurarlas, cuando ya han estado funcionando muchas de ellas adecuadamente, detalla Iriarte sobre este punto.
4. No debe crear elementos contrarios a la libertad de los individuos. El individuo debe estar informado de sus derechos y sus deberes en relación a sus datos personales pero también se le debe generar opciones para que, vía contractual, pueda compartir libremente su información.
5. No debe impedir el uso de medios electrónicos para manifestar la voluntad. Es decir, se debe respetar la decisión contractual del individuo que libremente cede sus datos -porque quiere adquirir un servicio o un bien-, y esta decisión puede ser presentada de manera digital. En el Perú ya esta contemplado desde el año 2000 la Ley de la Manifestación de la Voluntad por Medios Electrónicos, que es el artículo 141 del código civil. El reglamento también debería mencionarlo.
6. No debe ir contra la corriente en la apertura del open data para la transparencia. No se puede evitar la transparencia del Estado y esto exige que los funcionarios públicos, protegiendo su privacidad, también puedan divulgar su información y ésta puede ser accesible. Por ejemplo, los sueldos de los funcionarios podrían quedar fuera del conocimiento de las personas, con lo cual se afectan los mecanismos de lucha contra la corrupción.
7. No debe olvidar que estamos insertos en el APEC. Estamos dentro de un contexto global por lo cual la forma de ver la reglamentación no puede ser solo mirando Europa o solo al APEC, un sistema muy abierto. La ley per se es híbrida, por lo cual el reglamento también debería ser híbrido.
A considerar
Se ha planteado que la adecuación a esta ley y a este reglamento se realice en un plazo de dos años. Sin embargo, dada la experiencia internacional éste lapso podría ser insuficiente.
Iriarte señalo que, por ejemplo, que en España un poco más del 50% de las empresas han logrado adecuarse a la ley, una cifra a tomar en consideración sabiendo que la ley se promulgó a finales de los años 90.
De acuerdo a la ley peruana todas las organizaciones tienen que declarar sus bases de datos ante la autoridad y cumplir con las medidas de seguridad que la ley establece. En este caso se refiere al ISO 17799, un estándar para la seguridad de la información, que sería de cumplimiento obligatorio.
El inconveniente que surgiría entonces es que no todas las organizaciones e instituciones se encontrarían en capacidad de cumplir con este estándar. Por ejemplo, recientemente la Municipalidad de Miraflores ha establecido que los comercios de su jurisdicción deben implementar cámaras de seguridad en sus locales. Los videos son datos también y su seguridad debería establecerse en base al ISO 17799. ¿Podrán hacer esto todos los comercios?
Y es que la ley de protección de datos no solo tiene que ver con las industrias relacionadas a las tecnologías de la información y comunicaciones, también incluye a diversas industrias e incluso a comercios tan pequeños como una tienda o a profesionales independientes como un doctor. Ellos también generan datos y los almacenan. ¿Podrán cumplir con la ISO?
Por ello el reglamento debería tomar en cuenta estas diferencias de tamaño.
La cloud computing
La seguridad no fue el único punto que se resaltó durante la reunión.
El tema de transferencia internacional de datos es crítico para cloud computing. Si no se permite la transferencia internacional por vía contractual con responsabilidad del que está gestionando los datos se termina afectando a compañías como Google, Amazon, y al mismo al Estado que tiene servicios en cloud computing, sostuvo Iriarte.
El inconveniente es que esto no queda claro. Al preguntar a Iriarte si el reglamento indica de alguna forma que los servidores que alojan la información deben encontrarse en el Perú, la respuesta fue no se entiende claramente lo que dice el reglamento, puede terminar entendiéndose de esa manera.
El artículo 24 del Reglamento, dedicado al Flujo transfronterizo de datos personales, señala: Los flujos transfronterizos de datos personales serán posibles cuando el receptor o importador de los datos personales asuma las mismas obligaciones que corresponden al titular del banco de datos personales o responsable del tratamiento que como emisor o exportador transfirió los datos personales.
Por el momento, este es un proyecto de reglamento y puntos como el precedente son parte de la incertidumbre que debería desaparecer cuando ya se establezca el Reglamento definitivo. De lo contrario se podría generar un significativo problema no solo para el desarrollo de la computación en la nube sino para la competitividad del país.
Jose Antonio Trujillo, CIO Perú