Aldo Antonio Elliot Segura – CAL 30510

Máster en Informática y Derecho – Universidad Complutense de Madrid

Con estudios concluidos de Maestría en Gestión Pública – USMP y EUCIM España

Fedatario Juramentado con Especialización en Informática

Abogado de la Universidad de Lima

Catedrático de la Facultad de Derecho de la USMP

Consultor y asesor de entidades públicas y privadas

 

Desde que nacemos, hasta nuestra muerte, incluso después de ella, todos proporcionamos información que es captada y almacenada por personas; y, el problema se suscita, cuando esta información es cedida, transmitida o compartida a terceros, muchos de ellos los cuales no conocemos o lo que puede ser más grave, a los que no queremos o no se quiere que se proporcione nuestra información.

 

La Constitución Política del Perú en su artículo 2°, numeral 6, reconoce el derecho que toda persona tiene a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

 

Constitucionalmente como vemos, los datos personales que se encuentren dentro de la esfera de la intimidad, son protegidos, por lo que seguro se preguntarán: ¿cuál es la esfera de intimidad?.  La intimidad y la privacidad poseen distintas acepciones, mientras que la privacidad es un ámbito donde solo unos pocos tienen acceso a una misma información, la intimidad se circunscribe a un ámbito donde una persona se guarda para sí, sus actos, del resto de seres humanos. Por otro lado, el dato personal es aquella información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados: Dirección de correo electrónico, nombres y apellidos, fecha de nacimiento, N° DNI, N° de RUC, N° de placa de vehículo,  una historia clínica, la afiliación sindical, la religión, la pertenencia a un partido político, entre otros.

 

Es casi seguro que muchos de nosotros sin darnos cuenta, hemos proporcionado estos datos, los cuales han venido siendo almacenados en bases que pueden estar siendo administrados por entidades públicas o privadas.

 

Estos datos que hemos proporcionado, sin ser conscientes respecto a que si queremos o no que sean utilizados por los que los administran, es un contexto en el que usualmente se originan los problemas. Para ello, debemos aprende a clasificar de manera genérica los tipos de datos que existen, pudiendo ser éstos, datos públicos, datos privados o datos sensibles. Los primeros, serán aquellos que son de libre acceso para cualquier persona, los segundos serán aquellos que solo tienen acceso un grupo reducido de personas y los terceros aquellos que solo los debe saber el titular de dicha información y dependerá solo de él, proporcionarlos a quien determine. Entre estos datos tenemos: a) Los datos biométricos que por sí mismos pueden identificar al titular, b) Información relacionada a la salud o a la vida sexual, c) Ingresos económicos, d) Datos referidos al origen racial y étnico, e) Opiniones o convicciones políticas, religiosas filosóficas o morales, f) Afiliación sindical.

 

Por otro lado, los bancos de datos personales, es el conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

 

Nos quedaría entonces por entender a qué se refiere el término tratamiento, el cual puede ser entendido como cualquier operación o procedimiento técnico, automatizado o no, que permite recopilar, registrar, organizar, almacenar, conservar, elaborar, modificar, extraer, consultar, utilizar bloquear, suprimir, transferir, difundir o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

En esta ponencia es de particular interés, conocer que pasa con el tratamiento automatizado de datos de carácter personal y cuáles son las consecuencias de utilizar medios electrónicos para este fin.

Es innegable que las redes sociales, juegan un papel protagónico en los problemas que vemos día a día, respecto a cómo se utiliza y maneja la información o dato personal. Para comenzar, lo que respecta a los datos sensibles, éstos forman parte de la esfera de intimidad como hemos dichos, entonces de por sí en el Perú este tipo de datos tienen una protección constitucional.

¿Qué pasa cuando una red social es utilizada para manejar de manera inadecuada estos datos?, muchos dirán, si uno decide colocar sus datos en una red social, está decidiendo hacer un dato sensible como público y otros dirán, yo limito quienes pueden ver mi información o datos en una red social, lo que no la hace pública. Y aquí viene nuestro primer análisis, nuestra Constitución nos protege frente al medio donde se va a manejar la información o dato personal (….a que los servicios informáticos, computarizados o no….), independientemente de que el dato sea público o privado, por lo que en este extremo lo que se tendrá que  probar o demostrar es que se ha usado un medio tecnológico para suministrar información que ha afectado nuestra intimidad personal o familiar, es decir que incluso la persona que no decidió colocar un foto en una red social, pero se ve afectada, en virtud a dicha acción, tendrá todo el derecho denunciarlo o demandarlo.

¿Y cuáles son los elementos que uno debe considerar para concluir que se ha afectado su intimidad?. En mi opinión y como hemos indicado, la intimidad es un contexto en el que uno, al menos inicialmente decide no compartir determinada información; sin embargo, en un momento determinado si lo decide, lo puede hacer, a esto es lo que llamamos Autodeterminación Informativa, siendo el principio rector el consentimiento. Es así que la Ley de Protección de Datos Personales de Perú (LPDP), Ley 29733, establece que: Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

Por ende, en el caso de redes sociales, se tendrá que analizar el contexto en el cual uno ha dado consentimiento para difundir un dato sensible y por otro lado, analizar si la utilización de la plataforma ha servido para suministrar dicha información para afectar la intimidad personal o familiar.

La otra gran incógnita producido el daño es: ¿Qué hago?, ¿Qué acciones legales puedo iniciar?. Sobre el particular, la LPDP establece un principio muy importante: El Principio de disposición de recurso, por el cual, todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.

 

Es así, que en el Perú se han dado algunas alternativas a los que uno puede recurrir:

 

En vía administrativa, la Autoridad Nacional de Protección de Datos Personales, del Ministerio de Justicia, tiene las siguientes funciones:

  1. Tutela al ciudadano en el ejercicio de sus derechos regulados en la LPDP
  2. Supervisa el cumplimiento de las exigencias de la LPDP y sanciona su incumplimiento
  3. Administra y mantiene actualizado el Registro Nacional de Protección de Datos Personales.
  4. Orienta a los ciudadanos sobre el contenido, los principios y las garantías del derecho fundamental a la protección de datos regulado en la LPDP
  5. Emite opinión técnica sobre los proyectos de normas

 

Para ello, cualquier ciudadano podrá denunciar actos que atenten contra los datos personales, sustentando el mismo en los siguientes Principios:

 

Consentimiento: El tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco.  No se admiten fórmulas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa.

 

Calidad: Los datos contenidos en un banco de datos personales, deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el titular de los mismos son exactos.

 

Finalidad: Debe expresarse con claridad, sin lugar a confusión y de manera objetiva, el objeto que tendrá el tratamiento de los datos personales. Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse, si su finalidad además de ser legítima, es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales. Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.

 

Seguridad: En el tratamiento de los datos personales, deben adoptarse las medidas de seguridad que resulten necesarias a fin de evitar cualquier tratamiento contrario a las normas aplicables, incluyendo la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

 

En vía judicial, podría interponerse una Acción de Habeas Data, el cual se puede considerar como aquel derecho constitucional que una persona puede utilizar, cuando se vea afectado por alguien que se haya incluido en algún registro o en un banco de datos, conocer y/o utilizar la información que existe allí sobre su persona, y en caso que lo creyese conveniente solicitar su eliminación o su corrección si es que la información es falsa o está desactualizada.

 

También puede utilizarse cuando se considera que por el correr del tiempo la información ya resulta obsoleta o ha perdido totalmente su utilidad. Es así, que esta garantía constitucional funciona contra la incorrecta manipulación de los datos personales que se hallan en manos de terceros, pudiendo impedir afectaciones al derecho de intimidad o corregir datos que no sean verdaderos y que como tales podrían ocasionar algún problema.

 

Este mecanismo es el que, de un tiempo a este parte, está siendo utilizado por personalidades públicas, actrices, modelos, periodistas, políticos, entre otros, que se han sentido afectados por una deficiente o mal intencionada información en plataformas tecnológicas o redes sociales, habiéndose interpuesto esta acción para eliminar la información o para que sea corregida.

 

También en el ámbito financiero suele ser habitual la aplicación de este recurso ya que una persona no solo podrá exigir el conocimiento de su historia financiera sino saber a quién se le ha suministrado la misma. Y en los casos que corresponda, hasta se podrá exigir que se eliminen algunos datos negativos, si es que ha transcurrido un plazo perentorio.

 

Todo ello, sin perjuicio de las acciones judiciales penales que podemos iniciar, en el que es interesante dar una mirada al acápite de los delitos informáticos: Acceso ilícito, atentado a la integridad de datos informáticos, atentado a la integridad de sistemas informáticos, interceptación de datos informáticos, fraude informático, abuso de mecanismos y dispositivos informáticos, discriminación o incitación a la discriminación o el tráfico ilegal de datos personales. Como también de las acciones judiciales civiles que uno podría iniciar, por ejemplo, a través de una demanda por indemnización de daños y perjuicios.

 

Como vemos entonces, actualmente tenemos un marco de protección que tiene como objetivo, garantizar el precepto constitucional que enunciamos al inicio del presente, por lo que todos de alguna manera, podemos hacer frente a vulneraciones o amenazas de nuestros datos personales, en especial cuando no se puedan ejercitar los siguientes derechos:

 

  1. Acceso: Toda persona tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.

 

  1. Rectificación (Actualización, Inclusión): Es el derecho del titular de datos personales que se modifiquen los datos que resulten ser inexactos, erróneos o falsos.

 

 

  1. Cancelación (Supresión): El titular de los datos personales podrá solicitar la supresión o cancelación de sus datos personales de un banco de datos personales cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hayan sido recopilados; hubiere vencido el plazo establecido para su tratamiento; se ha revocado su consentimiento para el tratamiento y en los demás casos en los que no están siendo tratados conforme a la Ley y al reglamento.

 

  1. Oposición: Toda persona tiene la posibilidad de oponerse, por un motivo legítimo y fundado, referido a una situación personal concreta, a figurar en un banco de datos o al tratamiento de sus datos personales, siempre que por una ley no se disponga lo contrario.

 

Es importante entonces, saber nuestros derechos relacionados con los datos personales automatizados, pero también saber la gran responsabilidad que uno puede asumir, si decide contar con un banco de datos personales, pues de no manejase con prudencia, las consecuencias legales administrativas, constitucionales, civiles o penales, siempre estarán como una sombra para algunos y un paraguas para otros.