El «Manual de Protección de Datos Personales», creado por la Defensoría del Pueblo, enseña sobre la importancia de proteger datos personales, como nombre o domicilio. Explica cómo estos datos se usan en actividades diarias y los derechos de los individuos en relación con su uso y protección. Destaca la necesidad de mecanismos de seguridad para evitar usos indebidos que afecten la privacidad. La Constitución respalda estos derechos mediante la Ley de Protección de Datos Personales Ley 29733; y de su reglamento, aprobado por Decreto Supremo 003-2013-JUS, asegurando el control de los individuos sobre su propia información personal.
1. ¿Qué son los datos personales?
Los datos personales son cualquier tipo de información o dato que permite identificar a una persona natural o que hace a la persona identificable. Entre los datos personales se incluyen:
- Nombre
- Imagen
- Voz
- Documento nacional de identidad
- Pasaporte
- Firma
- Domicilio
- Correo electrónico
- Huella dactilar, entre otros.
Cuando la información está íntimamente vinculada con la vida privada de la persona, estos datos personales se clasifican como datos sensibles. Los datos sensibles incluyen:
- Datos biométricos
- Origen racial y étnico
- Ingresos económicos
- Opiniones o convicciones políticas
- Religión
- Afiliación sindical
- Información relacionada con la salud
- Orientación sexual.
- Estos ajustes proporcionan una definición más directa y organizada de los datos personales y sensibles, manteniendo la esencia de su contenido original.
A tener en cuenta:
- El número de teléfono celular es un dato personal, ya que permite identificar a la persona.
- Acceder a datos personales de funcionarios públicos requiere balancear su privacidad con el interés público.
- Imagen y voz son datos personales, y su difusión mediante cámaras de vigilancia está regulada por leyes específicas.
- Las imágenes de funcionarios públicos en ejercicio son públicas, pero se deben proteger los datos personales de terceros.
2. ¿Por qué proteger los datos personales?
La protección de datos personales es un derecho fundamental que asegura la privacidad individual y familiar, protegiendo contra el uso desproporcionado, abusivo o irregular de dichos datos. En la vida cotidiana, actividades como asistir a ferias, usar aplicaciones web, participar en redes sociales, comprar en línea o solicitar créditos, implican compartir datos personales, lo que subraya la importancia de protegerlos. La Constitución protege los datos personales mediante el derecho a la autodeterminación informativa, que permite a las personas preservar su privacidad ante el uso de sus datos.
3. ¿Qué normas protegen los datos personales en el Perú?
En Perú, la protección de datos personales está respaldada por diversas normas:
- Constitución Política del Perú: Prohíbe que los servicios informáticos suministren información que afecte la intimidad personal y familiar.
- Ley 29733 – Ley de Protección de Datos Personales: Establece derechos para los titulares de datos personales, principios y condiciones para su tratamiento.
- Decreto Supremo 003-2013-JUS: Regula la inscripción en el Registro Nacional de Protección de Datos Personales y el régimen sancionador por no cumplir con las normas de protección de datos.
Además, la Declaración Universal de Derechos Humanos y la Convención Americana de Derechos Humanos protegen los datos personales a través del derecho a la intimidad personal y familiar, prohibiendo interferencias arbitrarias en la vida privada. La Red Iberoamericana de Protección de Datos fomenta la regulación del derecho a la protección de datos personales, integrando actores públicos y privados.
4. ¿Cómo proteger los datos personales?
Para proteger los datos personales en Perú, existen dos vías principales: judicial y administrativa.
- Judicialmente: Mediante el proceso de habeas data, una persona puede gestionar su información personal almacenada en cualquier tipo de registro o base de datos, tanto públicos como privados. Esto incluye conocer, actualizar, agregar, eliminar o corregir sus datos, así como restringir la divulgación de datos sensibles. Este proceso está amparado por la Constitución en su artículo 200.3 y detallado en el Código Procesal Constitucional.
- Administrativamente: A través de una solicitud al responsable del banco de datos, una persona puede solicitar el acceso, rectificación, corrección o rechazo del tratamiento de sus datos personales. Si esta solicitud es ignorada o rechazada, se puede iniciar un procedimiento de tutela ante la Autoridad Nacional de Protección de Datos Personales. La decisión de la Autoridad es definitiva en la vía administrativa, pero puede ser objeto de un recurso judicial mediante un proceso contencioso administrativo.
Tratamiento de Datos Personales
6. ¿En qué consiste el tratamiento de datos personales?
El tratamiento de datos personales comprende cualquier tipo de operación o procedimiento, ya sea automatizado o manual, aplicado a estos datos. Esto incluye actividades como la recopilación, grabación, almacenamiento, uso, consulta, transferencia, modificación, y supresión, entre otras. Un aspecto crucial es que el tratamiento de datos personales debe estar siempre limitado por la autorización del titular. Sin el consentimiento del titular, acciones como la recopilación y transferencia de datos personales se consideran ilegales.
El consentimiento para el tratamiento de datos personales constituye la aprobación que el titular necesita dar para permitir la recopilación y uso de sus datos, de acuerdo con una finalidad que se ha informado de antemano. Este consentimiento puede otorgarse verbalmente o por escrito. Sin embargo, en el caso del tratamiento de datos sensibles, el consentimiento debe ser obligatoriamente por escrito. Para que el consentimiento sea considerado válido, debe cumplir con ciertos criterios esenciales.
- Previo: El consentimiento debe otorgarse antes de comenzar cualquier tratamiento de los datos personales.
- Informado: Es esencial que el titular de los datos personales sea plenamente consciente de la finalidad para la cual se tratarán sus datos.
- Expreso: Debe haber una prueba clara y directa del consentimiento otorgado por el titular de los datos.
- Inequívoco: El consentimiento debe ser claro y sin lugar a dudas sobre su existencia o naturaleza.
En el caso de datos personales de menores, los padres o tutores deben dar su consentimiento. Los adolescentes entre 14 y 18 años pueden consentir al tratamiento de sus propios datos en ciertas circunstancias. Es responsabilidad del titular del banco de datos o del encargado del tratamiento demostrar que se ha obtenido un consentimiento previo, expreso, libre e informado.
7. ¿Cuándo no se requiere consentimiento?
La Ley 29733 de protección de datos personales en Perú establece ciertas situaciones en las que no se requiere el consentimiento del titular para el tratamiento de sus datos personales. Estas excepciones incluyen:
- Funciones de Entidades Públicas: Ejemplo: La ONP recopilando datos para el pago de pensiones.
- Datos en Fuentes Públicas: Ejemplo: Datos en portales de transparencia de entidades públicas.
- Datos de Solvencia Patrimonial o Crédito: Ejemplo: Entidades financieras accediendo a datos para servicios financieros.
- Preparación, Celebración y Ejecución de Contratos: Ejemplo: Datos personales en contratos de compra de inmuebles.
- Emergencias de Salud: Ejemplo: Profesionales de salud accediendo a datos en emergencias sin consentimiento.
- Datos en Entidades Sin Fines de Lucro: Ejemplo: Recopilación de datos en sindicatos para sus actividades.
- Datos Anonimizados o Disociados: Ejemplo: Informes de la Autoridad Nacional de Protección de Datos Personales con datos anonimizados.
- Salvaguarda de Intereses del Titular: Ejemplo: Autoridades policiales tratando datos en casos de desaparición.
- Prevención de Delitos: Ejemplo: Investigaciones sobre lavado de activos sin consentimiento del investigado.
- Informes a la Unidad de Inteligencia Financiera: Ejemplo: Entidades financieras informando para prevenir el lavado de activos y financiamiento del terrorismo.
- Libertad de Información: Ejemplo: Medios publicando noticias con datos personales en contextos noticiosos.
Estas excepciones reconocen la necesidad de equilibrar el derecho a la privacidad con otros intereses públicos y situaciones de emergencia.
A tener en cuenta:
Datos Necesarios: Solo proporciona la cantidad mínima de datos personales necesarios para un propósito específico. Por ejemplo, al contratar un crédito hipotecario, no es necesario proporcionar información sobre religión o identidad sexual.
Excepciones al Consentimiento: Incluso en situaciones donde no se requiere el consentimiento del titular para el tratamiento de datos, se deben respetar todas las otras obligaciones y principios de protección de datos.
Redes Sociales y Aplicaciones: Ten cuidado con la información personal que compartes en redes sociales y recuerda que muchas aplicaciones y juegos en línea necesitan tu consentimiento para acceder y tratar tus datos.
8. Flujo Transfronterizo de Datos
Consiste en la transferencia de datos personales desde un país a otro. Para realizar esta transferencia, es esencial garantizar un nivel de protección de los datos equivalente al de la Ley 29733 o a los estándares internacionales. Si el país receptor no ofrece una protección adecuada, el remitente debe asegurarse de que los derechos de los titulares de los datos se respeten. Además, es posible consultar a la Dirección de Protección de Datos Personales sobre la conformidad legal de dichos flujos transfronterizos.
9. Seguridad en el Tratamiento de Datos Personales
El tratamiento de datos personales implica transferir, conservar y utilizar estos datos, lo que requiere medidas de seguridad para prevenir su alteración, pérdida o acceso no autorizado. Estas medidas incluyen:
- Técnicas: Como el cifrado de datos y la creación de copias de seguridad.
- Organizativas: Como políticas internas para el manejo adecuado de los datos por parte del personal.
- Legales: Como directivas internas que guían el tratamiento de datos.
10. Protección de la Confidencialidad
La confidencialidad implica mantener en secreto los datos personales, responsabilidad del titular del banco de datos, del encargado y de cualquiera involucrado en su tratamiento. Este deber concluye solo con el consentimiento del titular, una resolución judicial, o por motivos de defensa nacional, seguridad o salud pública. La violación de la confidencialidad, como en el caso de un ciberataque, puede conllevar responsabilidades administrativas si no se cumplen las medidas de seguridad establecidas en la ley y su reglamento.
11. Derechos ARCO en la Protección de Datos Personales
Los derechos ARCO son un conjunto de facultades que tiene el titular de datos personales frente a quien gestiona estos datos (titular del banco de datos o encargado del tratamiento). Estos derechos pueden ejercerse de manera personal y gratuita mediante solicitudes específicas:
- Acceso: Permite a las personas conocer los detalles de su información personal almacenada en bancos de datos, incluyendo el propósito de su recopilación y posibles transferencias.
- Rectificación: Ofrece la posibilidad de corregir datos personales que se hayan recogido de manera errónea, incompleta, inexacta, desactualizada o falsa.
- Cancelación: Habilita a las personas a solicitar la eliminación de sus datos cuando estos ya no son necesarios, se ha revocado el consentimiento, o ha finalizado el periodo para su tratamiento.
- Oposición: Permite a los individuos rechazar el tratamiento de sus datos personales en bancos de datos.
Los plazos para responder a estas solicitudes son de 20 días para el acceso y de 10 días para la rectificación, cancelación y oposición.
Además, se incluye el derecho al olvido, que permite la supresión de datos personales de diversas fuentes para salvaguardar la privacidad y el honor del titular de los datos.
12. ¿Qué otros derechos tiene el titular de datos personales?
Además de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), los titulares de datos personales tienen derechos adicionales:
- Derecho de Información: Este derecho permite a los titulares conocer cómo se tratan sus datos, incluyendo la finalidad del tratamiento, los destinatarios, el lugar de almacenamiento, el tiempo de conservación y otros aspectos relevantes del tratamiento.
- Derecho a Impedir el Suministro a Terceros: Los titulares pueden prohibir que sus datos personales sean compartidos con terceros, especialmente si esto pone en riesgo sus derechos fundamentales.
- Derecho a la Tutela: En caso de negación total o parcial de sus derechos, los titulares pueden buscar amparo ante la Autoridad Nacional de Protección de Datos Personales o recurrir al Poder Judicial para la defensa de sus derechos.
- Derecho a Indemnización: Si el titular sufre perjuicios por incumplimientos de la Ley de Protección de Datos Personales, tiene derecho a recibir una indemnización por los daños causados.
Estos derechos complementan los ARCO y refuerzan la capacidad de los individuos para controlar y proteger su información personal.
13. Naturaleza y Tipos de Bancos de Datos Personales
Un banco de datos personales es una colección organizada de información personal, almacenada en varios formatos como físico, magnético, digital u óptico. Estos bancos pueden ser de titularidad pública, administrados por entidades gubernamentales, o privada, manejados por individuos o entidades privadas. Pueden organizarse de manera automática o manual.
Independientemente de su titularidad, todos los bancos de datos deben cumplir con las normativas de protección de datos personales. Esto incluye el uso de procedimientos de anonimización y disociación para proteger la identidad de las personas. Mientras la anonimización elimina de forma irreversible cualquier posibilidad de identificar al titular de los datos, la disociación permite una eventual reidentificación. Estos procesos son fundamentales para garantizar la seguridad y privacidad de la información personal, según lo estipulado en los artículos 2.14 y 2.15 de la Ley de Protección de Datos Personales.
14. Roles en la Gestión de Datos Personales
En el contexto de la protección de datos personales, existen dos figuras clave:
Titular del Banco de Datos: Esta es la persona o entidad (natural, jurídica privada o pública) responsable de determinar la finalidad de la recopilación, almacenamiento, tratamiento y seguridad de los datos personales. El titular del banco de datos es quien decide cómo y por qué se manejan los datos personales.
Encargado del Tratamiento de Datos Personales: Esta figura se refiere a la persona o entidad (natural o jurídica, pública o privada) que efectúa el tratamiento de los datos personales en representación y bajo las directrices del titular del banco de datos. Es crucial que el tratamiento de datos se adhiera estrictamente a las finalidades establecidas por el titular. Si el encargado del tratamiento se desvía de estos propósitos, puede incurrir en responsabilidades legales.
Estos roles son fundamentales para garantizar que el manejo de los datos personales se realice de manera transparente, segura y conforme a la ley.
15. Responsabilidades del Titular y del Encargado en el Tratamiento de Datos Personales
Tanto el titular del banco de datos como el encargado del tratamiento de datos personales deben cumplir con varias obligaciones clave para garantizar la protección y el uso adecuado de los datos personales:
- Consentimiento: Sólo deben tratar datos personales con el consentimiento válido del titular.
- Legalidad en la Recolección: Deben evitar la recopilación de datos de manera fraudulenta, desleal o ilícita.
- Limitación de la Recolección: Sólo deben recopilar los datos necesarios para los fines que han sido explícitamente informados al titular.
- Finalidad Específica: No deben utilizar los datos para fines distintos a los establecidos, a menos que se aplique un procedimiento de anonimización o disociación.
- Respeto a los Derechos ARCO: Deben garantizar que no se limite el ejercicio de los derechos de acceso, rectificación, cancelación y oposición del titular.
- Exactitud de los Datos: Deben actualizar o corregir los datos personales si se identifica que son inexactos o incompletos.
- Eliminación de Datos Innecesarios: Deben eliminar los datos que ya no sean necesarios o cuyo plazo de tratamiento haya concluido.
- Colaboración con la Autoridad: Deben proporcionar toda la información necesaria a la Autoridad Nacional de Protección de Datos Personales relacionada con el tratamiento de los datos y el acceso a los bancos de datos.
Estas responsabilidades son fundamentales para asegurar que el tratamiento de datos personales se realice de manera ética, legal y transparente, protegiendo los derechos de los titulares de los datos.
16. Estructura y Función de la Autoridad Nacional de Protección de Datos Personales
La Autoridad Nacional de Protección de Datos Personales es una entidad reguladora que forma parte de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Esta Dirección General funciona bajo la supervisión del Despacho Viceministerial de Justicia del Ministerio de Justicia y Derechos Humanos y tiene la responsabilidad primordial de asegurar la protección de los datos personales, un derecho fundamental para los ciudadanos.
La estructura de esta Autoridad incluye:
- Autoridad Nacional de Transparencia y Acceso a la Información Pública: Encargada de garantizar la transparencia y el acceso público a la información.
- Autoridad Nacional de Protección de Datos Personales: Responsable de la protección y regulación de los datos personales.
- Dirección de Transparencia y Acceso a la Información Pública: Focalizada en facilitar el acceso público a la información.
- Dirección de Protección de Datos Personales: Centrada en la protección de los datos personales y la supervisión del cumplimiento de las normativas relevantes.
- Dirección de Fiscalización e Instrucción: Encargada de la supervisión y aplicación de las normas de protección de datos.
Esta estructura refleja la importancia y el compromiso del estado en proteger los datos personales y garantizar la transparencia y el acceso a la información pública.
17. Funciones de la Autoridad Nacional de Protección de Datos Personales
La Autoridad Nacional de Protección de Datos Personales, entidad clave en la regulación y supervisión de la protección de datos personales, tiene asignadas diversas funciones críticas:
- Resolución de Procedimientos Sancionadores: Decide en última instancia sobre los procedimientos administrativos sancionadores iniciados por la Dirección de Fiscalización e Instrucción.
- Atención de Reclamaciones por Derechos ARCO: Resuelve reclamaciones presentadas por titulares de datos personales cuando se les niegan sus derechos de Acceso, Rectificación, Cancelación y Oposición.
- Imposición de Multas: Autorizada para imponer multas adicionales en procedimientos sancionadores.
- Gestión del Registro Nacional: Actualiza y supervisa el Registro Nacional de Protección de Datos Personales.
- Inscripción de Bancos de Datos: Registra bancos de datos personales tanto de administraciones públicas como privadas.
- Supervisión de Flujos Transfronterizos: Controla y supervisa el flujo transfronterizo de datos personales.
- Cancelación de Inscripciones: Puede cancelar inscripciones de bancos de datos a solicitud de las partes involucradas.
- Opinión Técnica en Legislación: Emite opiniones técnicas vinculantes en proyectos de ley relacionados con datos personales.
18. Procedimiento Trilateral de Tutela en la Protección de Datos Personales
El procedimiento trilateral de tutela es un mecanismo legal destinado a la protección de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) en el ámbito de los datos personales. Este proceso se desarrolla en varias etapas:
- Solicitud Inicial: El titular de los datos presenta una solicitud al titular del banco de datos o al encargado del tratamiento, solicitando ejercer sus derechos ARCO.
- Solicitud de Tutela: Si la respuesta inicial es insatisfactoria, se deniega o no se recibe en el tiempo establecido, el titular puede presentar una solicitud de tutela de derechos ante la Dirección de Protección de Datos Personales.
- Resolución y Posibles Sanciones: La Dirección de Protección de Datos Personales evalúa el caso y puede imponer sanciones administrativas como multas.
- Recurso de Apelación: Las decisiones tomadas pueden ser apeladas ante la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
Casos Relevantes:
- En 2015, una multa de 1 UIT fue impuesta a un administrador de blog por procesar datos personales sin consentimiento.
- En 2018, un medio de comunicación fue sancionado por no responder a una solicitud de supresión de datos, y se ordenó la actualización de una noticia con información incorrecta.
- Ese mismo año, una empresa de telecomunicaciones fue sancionada por negarse a eliminar datos personales, con la orden de cancelar los datos registrados en su banco.
- Este procedimiento garantiza que los titulares de datos personales tengan un recurso efectivo para proteger sus derechos y asegurar un tratamiento adecuado de su información personal.
19. Facultad Sancionadora de la Autoridad de Protección de Datos
La Autoridad Nacional de Protección de Datos Personales tiene la potestad de iniciar procedimientos administrativos sancionadores contra responsables de bancos de datos, tanto públicos como privados, que infrinjan las normas establecidas en el Reglamento de la Ley de Protección de Datos Personales. Este proceso incluye:
- Etapa de Instrucción: Realizada por la Dirección de Fiscalización e Instrucción en un plazo de 50 días hábiles.
- Resolución en Primera Instancia: Emitida por la Dirección de Protección de Datos Personales en 20 días hábiles.
- Resolución en Segunda Instancia: A cargo de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
Las infracciones se clasifican en leves (como recopilar datos innecesariamente), graves (como no atender solicitudes del titular de los datos) y muy graves (como recopilar datos por medios ilícitos). Las sanciones pueden incluir multas, medidas correctivas y sanciones administrativas, determinadas según la gravedad de la infracción y expresadas en unidades impositivas tributarias. Se considera también cualquier subsanación realizada durante el proceso.
Un ejemplo de esta aplicación fue en 2016, cuando un centro educativo recibió una multa de 2.5 UIT por procesar imágenes de alumnos en su sitio web sin consentimiento y 8 UIT por no registrar su banco de datos en el Registro Nacional de Protección de Datos Personales.
Conclusión de la protección de datos personales
En conclusión, la protección de datos personales en Perú está regulada por una serie de normativas y procedimientos que buscan garantizar la privacidad y los derechos de los individuos. Los derechos ARCO y otros adicionales proporcionan a los titulares de datos herramientas para controlar su información personal. La Autoridad Nacional de Protección de Datos Personales juega un papel crucial en supervisar y sancionar el tratamiento indebido de datos, mientras que los bancos de datos deben cumplir con obligaciones específicas para asegurar un tratamiento ético y legal de la información personal.
En caso una empresa desea adquirir datos personales de un individuo, lo recomendable es que lo haga a través de una empresa de verificación de datos personales, las cuales cumplen con la normativa vigente en materia de privacidad y protección de datos. Estas empresas se encargan de garantizar que la recopilación y gestión de la información personal se realicen de manera ética y legal, asegurando el cumplimiento de las leyes y la salvaguarda de los derechos individuales.