Reflexiones sobre la observancia del derecho fundamental a la protección de datos personales en diversos actos regulados por el Código Civil
María de Lourdes Zamudio Salinas*
doi: https://doi.org/10.26439/iusetpraxis2022.n055.6093
En la línea de lo que señala la invitación a este seminario internacional que se realiza en el contexto del 40 aniversario de la Facultad de Derecho de la Universidad de Lima, que busca entrar en la reflexión sobre la influencia del derecho constitucional en las instituciones reguladas en el Código Civil, pretendemos plantear algunas reflexiones sobre un derecho fundamental que va a estar presente en cualquier acto civil o regulado por el Código Civil.
Hemos escogido un derecho fundamental de última generación, más que oportuno de observar en la era digital en la que nos encontramos. Me refiero al derecho a la protección de datos personales.
La razón es que los datos personales se utilizan para celebrar y ejecutar cualquier acto regulado por el Código Civil, sea el realizado por una sola persona, como puede ser el testamento; o por dos personas, como en el caso del matrimonio o un contrato, entre otros. No hay acto civil que no requiera el tratamiento de datos personales y por lo tanto estará presente el deber de respetar el derecho fundamental a la protección de datos personales, en virtud de lo que dispone su normativa general vigente.
En el Perú este derecho fundamental de la protección de datos personales está reconocido constitucionalmente desde 1993 en el artículo 2, inciso 6; y, a diferencia de los otros derechos, salvo el de acceso a la información pública, tiene además una norma de desarrollo constitucional que se concreta en el 2011, a través de la Ley 29733, que es la Ley de Protección de Datos Personales (en adelante la Ley), norma que además crea la autoridad administrativa de control sobre la materia, la Autoridad Nacional de Protección de Datos Personales. La Ley es reglamentada en el 2013, mediante el Decreto Supremo 003-2013-JUS.
El Código Civil, en su libro I, “Derecho de las personas”, hace referencia a algunos derechos fundamentales de manera expresa, tales como los derechos a la vida, a la integridad física, a la libertad, al honor, a la intimidad personal y familiar, a la imagen, a la voz, al nombre y al domicilio, y lo hace de una manera enunciativa, pues en su artículo 5, cuando habla de la irrenunciabilidad de los derechos fundamentales, va a incluir a todos los derechos, señalando que siendo “inherentes a la persona humana son irrenunciables y no pueden ser objeto de cesión”. Nosotros vamos a referirnos justamente a alguno de estos otros derechos inherentes a la persona humana, partiendo del cuestionamiento siguiente: ¿hoy en día es posible abordar alguna institución del derecho civil sin observar lo que dispone la Constitución sobre el derecho fundamental a la protección de datos personales, así como las normas que lo desarrollan?
Consideramos que la respuesta es negativa en el marco de nuestro Estado constitucional de derecho.
1. RAZONES DE LA OBSERVANCIA DEL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN LOS ACTOS CIVILES
Al tratarse de un derecho fundamental, su observancia es de cumplimiento obligatorio, entre otras, por las siguientes razones: está reconocido en la Constitución (artículo 2, inciso 6); es propio de la dignidad de la persona humana, que la sociedad y el Estado deben defender como su fin supremo, conforme al artículo 1 constitucional, y nos encontramos en el marco de un Estado constitucional de derecho, que tiene como uno de sus deberes primordiales el de “garantizar la plena vigencia de los derechos humanos”, conforme al artículo 43 de nuestra carta fundamental.
Si queremos buscar fundamentos en el mismo Código Civil, podemos hacer referencia al artículo V de su título preliminar, que señala que “es nulo el acto jurídico contrario a las leyes que interesan al orden público o a las buenas costumbres”, sin hacer referencia al análisis de la nulidad del acto jurídico, que no es nuestro objetivo; la Ley que desarrolla constitucionalmente el derecho a la protección de datos personales, Ley 29733, es una norma de orden público. A mayor abundamiento, lo señala el artículo 1 de su Reglamento, aprobado por el Decreto Supremo 003- 2013-JUS (en adelante el Reglamento de la Ley): “El presente reglamento tiene por objeto desarrollar la Ley N.º 29733, Ley de Protección de Datos Personales … Sus disposiciones constituyen normas de orden público y de cumplimiento obligatorio”.
Asimismo, el ya mencionado artículo 5 del Código Civil reconoce que los derechos “inherentes a la persona humana son irrenunciables”; su artículo 17 establece su defensa, cuando señala que “la violación de cualquiera de los derechos de la persona … confiere al agraviado o a sus herederos acción para exigir la cesación de los actos lesivos”.
Resulta indiscutible la aplicación directa del artículo 2, inciso 6, constitucional, que reconoce el derecho a la protección de datos personales, al tratamiento de la información personal en los actos regulados por el Código Civil; así como la norma de desarrollo de dicho derecho, la Ley de Protección de Datos personales, Ley 29733 (2011) y su Reglamento, aprobado por Decreto Supremo 003-2013-JUS (2013).
Para la realización de toda actividad, tanto privada como pública, siempre ha sido, es y seguirá siendo necesario el tratamiento de los datos personales. Estando en la tercera década del siglo xxi, nos encontramos en una sociedad en la que el uso de los datos de las personas es cada día más intenso e indispensable para el desarrollo de la vida individual y social. Esta realidad es más evidente en la sociedad digital actual, caracterizada por el uso y la adopción, en la vida cotidiana, de las tecnologías de la información y la comunicación (TIC).
Zamudio Salinas (2020, p. 334) señala lo siguiente:
Esta sociedad de la información, de la globalización de las comunicaciones, del imparable incremento de la tecnología y de sus capacidades, permite la recopilación y el tratamiento de los datos personales de maneras antes inimaginables, a gran escala, en tiempo real y a nivel mundial, sin respetar fronteras.
Lo que, si bien es cierto trae ventajas, también supone riesgos para los derechos de las personas como consecuencia de un tratamiento indebido de sus datos personales.
2. ASPECTOS BÁSICOS DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES
El reconocimiento del derecho fundamental a la protección de datos personales en el Perú se da en la Constitución Política de 19931, por medio de su artículo 2, inciso 6, cuando señala que “toda persona tiene derecho: … 6. A que los servicios informáticos computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal o familiar”.
Con la Ley de Protección de Datos Personales, Ley 29733, se desarrolla dicho derecho, al aprobarse una norma de carácter general sobre la materia que reconoce al titular del dato determinados derechos2 y establece una serie de principios3 a los que debe someterse todo tratamiento de datos personales, sea por parte del titular del banco de datos4 o responsable del tratamiento5, o encargado de este6, o cualquier persona que intervenga en alguna actividad del tratamiento, sea que pertenezca al sector público o al privado.
Para el artículo 2, inciso 4, de la Ley, el dato personal es “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”. Por ello, dentro del concepto de datos personales podemos encontrar nombres; direcciones; correos electrónicos; estado civil; edad; números telefónicos; números de cuentas bancarias; ingresos económicos; ideología; creencias religiosas, políticas y culturales; la imagen de una persona en una fotografía o en un video; su voz; datos biométricos; fecha de nacimiento; los datos de salud; origen racial o étnico; la placa de un vehículo; datos de localización, la pertenencia a asociaciones; antecedentes personales; etcétera.
2.1 Contenido esencial
El derecho a la protección de datos personales le confiere a su titular un poder de disposición y control de su información personal.
El Tribunal Constitucional, en reiteradas oportunidades, ha resaltado este poder de control que le corresponde al titular de la información, cuando ha definido al derecho a la protección de datos o autodeterminación informativa, como normalmente lo denomina nuestro alto Tribunal. Así lo hace, por ejemplo, en la Sentencia 04729-2011-PHD/TC, fundamento jurídico 4, en que señala lo siguiente:
El derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal.
El poder de control que le concierne a la persona titular del dato se ejerce independientemente de que quien esté tratando su información sea una entidad del Estado o un particular, persona natural o jurídica7, control que tiene como uno de sus fines fundamentales el contrarrestar posibles extralimitaciones en el tratamiento del que sea objeto su información personal.
Los derechos que le corresponden al titular de la información y los principios que deben guiar y ser obligatoriamente observados en toda actividad de tratamiento configuran el contenido esencial de este derecho a la protección de datos personales, porque es en virtud de su observación y cumplimiento que se podrá considerar que se está frente a un debido tratamiento de la información y que su titular goza de las facultades de disposición y control propias de este derecho (Zamudio Salinas, 2020, p. 338).
Constituye un deber para el responsable del tratamiento (lo que a su vez es un derecho del titular de la información) la necesidad de informar, de manera previa, clara y expresa, sobre las condiciones del tratamiento al que serán sometidos los datos personales.
Los derechos que la Ley reconoce al titular de la información son los siguientes:
Derechos que internacionalmente y en documentos de la Autoridad Nacional de Protección de Datos se reúnen en el acrónimo ARCO8.
Los principios a los que obligatoriamente deben ajustarse los responsables del tratamiento, los encargados de este y, en general, todos los que intervengan en alguna etapa del tratamiento de los datos personales son de manera enunciativa, según el texto de la Ley, los siguientes:
Como hemos señalado, en virtud del derecho a la protección de datos personales, el titular de la información debe poder disponer y controlar su información personal. El poder de control del titular del dato lo pone de manifiesto el Tribunal Constitucional en diversas sentencias, como la recaída en el Expediente 01127-2013-HD/TC, fundamento jurídico 6:
El ámbito constitucionalmente garantizado del derecho a la autodeterminación informativa protege la potestad del titular de sus datos de controlar si, y hasta qué punto, otras personas “tienen el derecho a exponer en público una imagen de la vida de una persona en su totalidad o en acontecimientos determinados de la misma” [Ernest Denninger,…1987] y éste depende exclusivamente de su titular, y no está sujeto a la autorización, (o a la concesión) de ninguna autoridad pública.
El poder de disposición de los datos se concretará con el consentimiento para el tratamiento, salvo los supuestos de excepción a él establecidos por Ley9.
El control sobre la información personal se concretará a través de los derechos que le corresponden a la persona como titular de sus datos, para lo cual la Ley le reconoce los derechos (ARCO) —ya mencionados— de acceso; de actualización, inclusión, rectificación y supresión; a impedir el suministro; de oposición; al tratamiento objetivo, y a la tutela. Derechos a través de los cuales le será posible conocer cómo se está realizando el tratamiento al que está sometida su información personal y si dicho tratamiento se ajusta a lo autorizado y lo dispuesto por la Ley y su Reglamento. Como lo expresa Troncoso (2011, p. 296).
el control del titular de los datos personales no es abstracto, sino concreto, con una capacidad real de informarse, exigir el consentimiento, acceder, rectificar, cancelar y oponerse al tratamiento de sus datos de carácter personal. Este derecho fundamental equivale a conocimiento y control.
Entre otros aspectos que podrá verificar el titular sobre su información personal, que está siendo objeto de tratamiento, se tiene el referente a si ella se está tratando solo para la finalidad autorizada; que no se estén tratando más datos que los necesarios para dicha finalidad; que se hayan cancelado los datos cuando se agotó la finalidad o el tiempo de conservación establecido; que los datos sean exactos, veraces y actuales, y que el tratamiento de su información personal se ajuste a los principios rectores de la protección de datos, porque, de no ser así, podrá tomar las medidas frente al mismo responsable del tratamiento o titular del banco de datos (quien será el responsable del tratamiento en el caso de que haya un banco de datos personales).
En el supuesto de la respuesta negativa total o parcial frente al ejercicio de los derechos ARCO, el titular que se considere afectado podrá recurrir en vía de reclamación ante la Autoridad Nacional de Protección de Datos Personales o ante el juez competente por medio del proceso constitucional del habeas data10.
Los derechos que la Ley le reconoce al titular del dato, al posibilitar el control sobre su información personal, forman parte de su contenido esencial.
Es importante señalar en este punto que, a nivel de la Ley de Protección de Datos Personales, así como de la Autoridad Nacional de Protección de Datos Personales, será considerada titular del dato solo la persona natural11 y, por lo tanto, solo ella podrá encontrar en dicha instancia la protección de este mediante la acción de tutela12 en virtud de una denegatoria de los derechos ARCO13; por el lado de la tutela jurisdiccional que otorga el proceso constitucional del habeas data14, además de la persona natural, titular de los datos personales, podrá eventualmente una persona jurídica alcanzar dicha tutela como titular de datos personales, lo que será evaluado y determinado por el juzgador en cada caso concreto, según corresponda. Hecha esta precisión, vamos a referirnos a la persona física como titular del dato personal.
2.2 Legitimación para el tratamiento
En nuestro sistema jurídico, el eje fundamental que habilita el tratamiento de los datos personales es el consentimiento de su titular, conforme lo señala el artículo 2, inciso 5, de la Ley. No obstante, como ningún derecho es absoluto, la Ley establece en su artículo 14 distintas excepciones al consentimiento para el tratamiento de los datos personales. Dentro de dichas excepciones, una es la que hemos escogido para la reflexión del tema asignado para nuestra exposición: la contenida en el inciso 5.
El artículo 14 de la Ley señala lo siguiente:
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
…
5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte”.
Las excepciones al consentimiento para el tratamiento de los datos personales derivadas del artículo 14 de la Ley, como la mencionada, referida a que los datos se obtuvieron en el contexto de un contrato, solo se limitan a que el titular del banco de datos o el responsable del tratamiento no requiere recabar dicha manifestación de voluntad15, que importa la autorización o el consentimiento del titular de los datos para los efectos de su tratamiento. Sin embargo, dicha excepción no comprende a ninguna otra obligación derivada de la Ley y de su Reglamento.
Así lo ha señalado, en diversos pronunciamientos, la Autoridad Nacional de Protección de Datos Personales, como en la Opinión Consultiva 07-2019-JUS/DGTAIPD-DPDP, en la que, en términos generales, en el punto 7 de su análisis, indica lo siguiente:
7. Cabe mencionar que las excepciones a la obligación de solicitar el consentimiento del titular del dato personal establecidas en el artículo 14 de la LPDP no exoneran a quien realice tratamiento de datos personales de cumplir con las demás disposiciones de la LPDP y su reglamento.
Dentro de las obligaciones a las que están sometidas las personas legitimadas para tratar los datos personales en virtud de una excepción al consentimiento, podemos mencionar la observancia de los principios rectores de la protección de datos personales.
En línea equivalente, para otro supuesto de excepción, la Autoridad Nacional de Protección de Datos Personales lo ha señalado en la opinión consultiva contenida en el Oficio 156-2017-JUS/DGTAIPD:
Los datos personales contenidos en las fuentes de acceso público … pueden ser objeto de tratamiento sin el consentimiento previo del titular de dichos datos, sin perjuicio de que este tratamiento debe llevarse a cabo respetando los demás principios y disposiciones establecidas en la Ley y el Reglamento.
2.3 Tratamiento de datos personales
Conforme al artículo 2, inciso 19, de la Ley, se entiende por tratamiento de datos personales a
cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
El tratamiento de los datos personales es un concepto amplio, pues comprende prácticamente cualquier actividad que se realice con relación a un dato personal; asimismo, el tratamiento puede realizarse en el contexto de un banco de datos personales16 o fuera de él.
El responsable del tratamiento será “aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales” (artículo 2, inciso 14, del Reglamento de la Ley), y si el tratamiento se da en un banco de datos personales al responsable se le denominará titular del banco de datos personales (artículo 2, inciso 17).
Este punto es relevante para nuestra reflexión, pues en muchos actos civiles se tratarán los datos personales necesarios para la realización del acto civil de que se trate, pero sin incluir dichos datos en un banco de datos personales, y debe estar claro que el hecho de no usarse un banco de datos personales de todas formas conlleva la aplicación de la Ley y su Reglamento.
Tal como se desprende de la definición del responsable del tratamiento, la legislación peruana sobre la materia se aplicará sea que se realice un tratamiento de datos personales fuera o dentro de un banco de datos personales. Esto lo ha señalado expresamente la Autoridad Nacional de Protección de Datos Personales en su Opinión Consultiva 48-2018-JUS/DGTAIPD y ha precisado además el objetivo de la Ley y del Reglamento, al indicar que “la LPDP y su reglamento no tienen como objetivo regular los bancos de datos, sino el tratamiento de datos personales, el cual se puede realizar incluso sin tener un banco de datos personales”.
3. TRATAMIENTO DE LOS DATOS PERSONALES EN ACTOS REGULADOS POR EL CÓDIGO CIVIL
Tanto para la celebración de todos los contratos, como la compraventa, el arrendamiento, la locación de servicios, un mandato, una donación, incluidos los de hospedaje y de suministro17, etcétera, como para la realización de un acto jurídico unilateral, como la elaboración de un testamento o la inscripción del nacimiento, o para la celebración de los matrimonios o un divorcio, entre los otros actos jurídicos regulados por el Código Civil, todos requieren para su celebración —y, en su caso, ejecución— el tratamiento de datos personales del interviniente o los intervinientes.
El tratamiento de los datos personales puede hacerse por medios físicos, mecánicos o informáticos o tecnológicos, y se incrementa día a día el uso de las tecnologías de la información y de la comunicación para estos efectos.
Cualquiera que sea la forma y el medio utilizado para el tratamiento de los datos personales, en el contexto de una acto o contrato regulado por el Código Civil, se deberá observar la Ley y su Reglamento, de tal forma que se garantice el respeto al derecho fundamental a la protección de datos personales y, a través de él, de otros derechos de la persona humana18.
A continuación, hemos seleccionado una de las clases de actos jurídicos regulados en el Código Civil para reflexionar en ellos, aspectos de obligatorio cumplimiento de la legislación que regula el derecho fundamental a la protección de datos personales, y por poner de manifiesto su influencia, la que, en la medida en que se refiriere a un derecho fundamental, no debe quedarse en una influencia meramente formal, sino real. Nos referimos a los contratos.
3.1 Contratos
Los contratos, al suponer un acuerdo de voluntades, involucran la existencia de dos o más partes. Las partes pueden estar conformadas por personas naturales, personas jurídicas o personas naturales con personas jurídicas. En todo caso, ambas deben estar plenamente identificadas, pues para la preparación, celebración y ejecución de los contratos es indispensable tratar datos personales de los involucrados, por lo menos aquellos datos de identificación.
Dentro de los datos personales más comúnmente usados en los contratos, encontramos el nombre, el número del DNI, la dirección electrónica, el domicilio, el estado civil, el número de cuenta de bancaria, el número de teléfono, la nacionalidad, entre otros, dependiendo del caso concreto.
Esta información personal de los que participan en un contrato no requiere para su tratamiento por la contraparte del consentimiento del titular de la información, en tanto se trate de los datos estrictamente necesarios para los fines del contrato y no se extiendan a otros fines. Lo señalado es en virtud de la excepción al consentimiento para el tratamiento, regulada en el artículo 14, inciso 5, de la Ley.
Sin embargo, como ha quedado anotado, cuando se hace uso de alguna de las excepciones al consentimiento para el tratamiento de los datos personales, como la referida a los contratos, quedan plenamente vigentes las otras obligaciones que impone la legislación sobre la protección de datos personales. Por ello, consideramos pertinente, para nuestra reflexión, realizar las siguientes preguntas:
3.1.1 ¿Las partes de un contrato conocen que, independientemente de las disposiciones del Código Civil que regulan su contrato específico, existe la Ley de Protección de Datos Personales, que les impone obligaciones sobre el tratamiento que darán a los datos personales de su contraparte (persona natural)?
La respuesta simple y formal que se podría dar sería afirmativa, en virtud del principio de la presunción del conocimiento de las normas jurídicas que han sido formuladas y publicadas según los procedimientos establecidos, recurriendo al artículo 51 de la Constitución, que dispone lo siguiente: “La publicidad es esencial para la vigencia de toda norma del Estado”. Lo señalado se suma al hecho de que además ni la Ley 29733 ni su Reglamento han sido objeto de impugnación de su validez19.
Es cierto que existen normas jurídicas que permanecerán en el campo de la ignorancia para la mayor parte de las personas. Esto no es raro y, de hecho, muchas normas que regulan sectores o actividades específicas o especializadas nunca se aplicarán a las actividades y en la vida de la mayoría de las personas naturales, por lo que su desconocimiento no tendrá consecuencias en su vida.
No obstante, lo acabado de afirmar no se aplica a la legislación sobre protección de datos personales, pues regula un derecho fundamental de la persona, así como que el tratamiento de su información personal es necesario para la realización de las actividades tanto en el sector público como en el privado, y sin duda en el contexto de las relaciones contractuales.
Hay que agregar a lo señalado que la afectación que genere el indebido tratamiento de los datos personales normalmente no será conocida de manera inmediata por su titular sino tiempo después de que ella se haya producido, como podría ser cuando recibimos un mensaje de publicidad a nuestro celular, dirección electrónica o física por una persona o empresa con la que no hemos tenido relación antes; asimismo, podría tratarse de una llamada no con fines de publicidad, sino delictivos, como una extorsión. La razón: los datos personales fueron transferidos sin el consentimiento ni el conocimiento de su titular, por lo que este perdió el control de aquellos.
La Ley es de observancia obligatoria para todo el que realice el tratamiento de datos personales en el contexto de un contrato, independientemente de que quien trate los datos personales sea una persona natural o jurídica.
Para efectos de la Ley, será lo mismo que el que vende un inmueble sea una empresa corredora o una persona natural, que lo hace por única vez; si el auto lo vende un concesionario autorizado o si es una persona natural que vende su auto con poco recorrido; se trate de una persona natural que dé hospedaje y pensión a estudiantes o se trate de un hotel de cinco estrellas que brinde el servicio; estemos en el supuesto de una donación de electrodomésticos que realice una persona natural a una familia necesitada o sea la donación que realice una empresa fabricante y distribuidora de electrodomésticos a esa misma familia.
Lo más probable es que las personas jurídicas dedicadas a las actividades objeto de los contratos y que son partes de estos se encuentren en mejores condiciones de conocer la Ley y su Reglamento que las partes contractuales conformadas por personas naturales. Tema aparte es que del conocimiento se pase al cumplimiento de la norma.
3.1.2 ¿Qué obligaciones legales se derivan con relación al uso de los datos personales de la persona natural con la que se está contratando?
Las obligaciones están en todo el texto de le Ley y de su Reglamento; no obstante, analizaremos algunas puntuales para la presente reflexión.
— El cumplimiento de los principios rectores de la protección de datos personales
Conforme al artículo 12 de la Ley, “la actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios rectores”. La obligación de ajustar todo tratamiento de datos personales a los principios rectores persigue no dejar sin contenido a este derecho fundamental.
a. Deber de información
Ya hemos señalado que, en el contexto que estamos analizando, quien es parte en un contrato no requiere el consentimiento de la otra parte para el tratamiento de los datos personales necesarios para el fin contractual; es la celebración y ejecución del contrato lo que delimita el marco de su actuación en lo que respecta al tratamiento de la información personal.
No obstante lo señalado, si bien es cierto que no resulta necesario el consentimiento, ¿queda vigente el derecho-deber de información? Derecho para el titular del dato y deber para el responsable del tratamiento. A la luz de lo que dispone la Ley, la respuesta es sí.
La obligación del consentimiento para el tratamiento de los datos personales está regulada en los artículos 5; 13, inciso 5, y 28, inciso 1, de la Ley. Por otro lado, la obligación de informar se regula en el artículo 1820 de la Ley, en el título referido a los derechos del titular de los datos personales.
Además, como se ha mencionado, la Autoridad Nacional de Protección de Datos Personales21 ha precisado que las excepciones a la obligación de solicitar el consentimiento del titular del dato personal no exoneran a quien realice el tratamiento de datos personales de cumplir con las demás disposiciones de la Ley y de su Reglamento; dentro de ellas se encuentra el deber de informar sobre las condiciones del tratamiento al que serán sometidos los datos personales de quien es parte de un contrato.
Este deber de informar resulta fundamental porque conocer las actividades del tratamiento a que se someterá nuestra información personal es vital para ejercer el poder de control que es parte del contenido esencial del derecho.
El cumplimiento de este deber de informar lo podemos ver en la práctica en los textos de los contratos en una cláusula específica o en un anexo de estos, sea que se celebren entre personas naturales y personas jurídicas o solo entre personas naturales, independientemente de que dichas partes se dediquen, como actividad regular, al objeto del contrato respectivo o que no lo hagan.
— Supuesto de contrato entre una persona jurídica y una persona natural
En este caso, la persona jurídica será la única responsable del tratamiento de los datos personales de su contraparte, que es una persona natural.
Citemos algunos ejemplos: la locación de servicios para brindar asesoría de un profesional independiente a una empresa, contrato de locación de servicios médicos en una clínica con relación a la atención (operación) de un paciente, contratos para la venta de inmuebles celebrados con empresas de corretaje, contrato de mandatos en que una de las partes es una empresa o un contrato de hospedaje en el cual interviene un establecimiento hotelero, entre otros contratos.
Independientemente de que los avisos de información consten en un documento físico o sean políticas de privacidad, si es vía web, o que cumplan con señalar todas o solo algunas de las condiciones que la Ley exige, podemos apreciar que, desde la dación de la Ley 29733, paulatinamente se están incorporando estos formatos con la información sobre el tratamiento que se dará a los datos personales de la contraparte contractual, en atención a lo que dispone la legislación sobre la materia.
Cabe precisar, además, que en los supuestos de los contratos señalados es normal que las empresas que tratan los datos personales de la contraparte ingresen dicha información en un banco de datos personales. De ser este el caso, el banco debe estar inscrito en el Registro Nacional de Protección de Datos Personales, de manera previa a la recopilación de los datos, pues de este hecho debe darse cuenta en la información sobre el tratamiento de los datos personales del que será objeto su contraparte (persona natural-titular del dato). No obstante, si la persona jurídica no incorpora los datos personales en un banco de datos, igualmente será de aplicación la Ley.
— Supuesto de contrato entre dos personas naturales
Pero ¿qué pasa con el cumplimiento del deber de información sobre el tratamiento de los datos personales cuando las dos partes en el contrato son personas naturales?
Se deberá entender que ambas partes serán consideradas responsables del tratamiento de los datos personales de su contraparte y deberán cumplir las obligaciones derivadas de la Ley.
Se pueden presentar los siguientes supuestos: que ambas partes traten los datos personales, pero sin incorporarlos en un banco de datos, o que solo una de las partes incorpore los datos personales de la contraparte en un banco de datos personales. En este último caso, se debe haber inscrito previamente el banco de datos en el Registro Nacional de Protección de Datos Personales, como ha quedado señalado de manera precedente.
Si bien es cierto que hay legislaciones que solo regulan los datos personales que se traten en un banco de datos personales22, en el caso de la ley peruana, ella se aplica a cualquier actividad de tratamiento de los datos personales independientemente de que se incorporen en un banco de datos: “Debe resaltarse que los DP están protegidos aun cuando no estén en un banco de datos, bastando que estén destinados a ello o que se realice con ellos alguna forma de tratamiento; por lo que el objeto de protección es el DP y no el banco de datos” (Opinión Consultiva 2. Oficio 038-2014-JUS/DGPDP).
Por lo expuesto, a la luz de la Ley, que no hace distingos sobre su aplicación cuando los datos personales son tratados, en el contexto de un contrato, por una persona natural o por una persona jurídica, o en un banco de datos o sin que exista uno, cualquiera sea el caso, se debería cumplir también con el deber de información. Sin embargo, esto es muy raro de apreciar cuando un contrato se da entre dos personas naturales.
Ensayando explicaciones de la situación descrita, podemos sostener prelimi-narmente dos: el bajo nivel del conocimiento de la Ley por parte de la ciudadanía y que la labor de fiscalización de la Autoridad Nacional de Protección de Datos Personales, por los recursos con los que cuenta, que es ya limitada para las personas jurídicas que tratan datos personales, lo es aún más para cumplir esa función cuando se refiere al caso del tratamiento de los datos personales por personas naturales.
No obstante lo señalado, es válido cuestionarnos sobre el destino que correrán nuestros datos personales en manos de nuestra contraparte contractual. Frente a esta situación, consideramos que podría comenzarse por incluir por lo menos una cláusula sobre la obligación de realizar el tratamiento de los datos personales solo para los fines estrictos del presente contrato, respetando la confidencialidad de aquellos y todo lo establecido en la Ley y su Reglamento.
b. Principio de legalidad
Conforme al artículo 4 de la Ley, “el tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos”.
Según este principio, cualquier actividad de tratamiento de los datos personales debe hacerse respetando lo establecido en la Ley y, por ende, el Reglamento. Por lo tanto, cualquier inobservancia a ellos supondrá una violación del presente principio, lo que incluye también el deber de respetar los derechos de la persona reconocidos en la Constitución, conforme lo señalado por el artículo 1 de la Ley.
En este punto, nos parece pertinente mencionar la naturaleza relacional del derecho a la protección de datos personales, sobre lo que el Tribunal Constitucional se ha pronunciado en varias ocasiones, como en la recaída en el Expediente 1797-2002-HD/TC:
3. … por su propia naturaleza, el derecho a la autodeterminación informativa, siendo un derecho subjetivo tiene la característica de ser, prima facie y de modo general, un derecho de naturaleza relacional, pues las exigencias que demandan su respeto se encuentran muchas veces vinculadas a la protección de otros derechos constitucionales [énfasis añadido].
En efecto, los datos personales pueden estar referidos a cualquier aspecto o ámbito de la vida de la persona, por lo que un indebido o inadecuado tratamiento de la información personal puede significar no solo una afectación al derecho a la protección de datos personales, sino a otro u otros derechos.
Como ejemplo, podemos citar un contrato de locación de servicios que celebran, de una parte, una empresa de servicio de asistencia tecnológica (locador) y un abogado (comitente) para el mantenimiento de sus equipos de cómputos en su domicilio.
La empresa envía a un técnico informático para el mantenimiento de las computadoras y en la realización de ese servicio accede, graba y se lleva la información personal del abogado sin su consentimiento.
Dentro de la información que el locador, técnico en computación, se lleva de su comitente pueden estar datos de identificación, fotografías familiares, fotos íntimas, direcciones electrónicas, datos de salud, datos de religión, información bancaria, de seguros, de formación académica, etcétera. Con este comportamiento, el locador ya estaría realizando actividades ilegales de tratamiento de datos personales por el hecho de grabar y llevarse esa información que no es suya, independientemente de las diversas finalidades a las que podría destinar dicha información a la que accedió indebidamente, y se constituiría un indebido tratamiento de la información personal del abogado, a la vez que afectaciones a la intimidad personal y familiar, a la imagen, al libre desarrollo de su personalidad, entre otras posibles.
La naturaleza relacional del derecho a la protección de datos personales muestra, en alguna medida, su relevancia para proteger no solo la información personal, sino a la persona en sí misma, por lo que, si garantizamos un debido tratamiento de la información personal, se estarán protegiendo los aspectos de la vida de la persona a los que dichos datos estén vinculados.
c. Principio de finalidad
El artículo 6 de la Ley señala con relación a este principio que “los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación”.
El principio de finalidad va a acompañar a todo el tratamiento del dato personal, pues el tratamiento de los datos personales que realicen las partes de un contrato no debe extenderse a otra finalidad que no sea la celebración y ejecución de dicho acto jurídico, que ha sido la finalidad clara para la que las partes permitieron la recopilación de su información personal.
Entonces, si una parte usa la información personal recopilada para el contrato con un fin diferente, como el publicitario, o para venderla y obtener una ganancia o publicarla en un medio de comunicación social, etcétera, estaría violando el principio de finalidad (contrato) que justificaba el tratamiento de los datos personales a los que tuvo acceso.
Así, por ejemplo, si compramos un auto de determinada marca, con poco kilometraje recorrido, y al día siguiente recibimos un correo o una llamada al celular ofreciéndonos el mantenimiento a nuestro nuevo auto por el concesionario autorizado, a pesar de que no hemos tenido antes relación alguna con él, lo más probable es que el vendedor del auto le haya proporcionado nuestros datos a esta empresa; con ello se configuraría un uso indebido de nuestra información personal, pues dicha transferencia de información no fue autorizada ni está dentro de los términos de la ejecución del contrato de venta del vehículo.
¿Será factible que en el contrato se establezca que se podrán usar los datos personales para finalidades distintas (finalidades no esenciales) para la celebración y ejecución del contrato? La respuesta es sí, pero para esto se deberá contar con el consentimiento válido del titular del dato respectivo.
d. Principio de proporcionalidad
Conforme al artículo 7 de la Ley, el principio de proporcionalidad consiste en que “todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados”.
Como podemos apreciar, el parámetro de la proporcionalidad lo da la finalidad que habilitó el tratamiento, por lo que los datos personales a los que se acceda en virtud de un contrato deben ser los estrictamente necesarios para su celebración y ejecución.
Así, por ejemplo, para la compraventa de un bien, como puede ser un inmueble o un mueble, será excesivo y por lo tanto desproporcional conocer la religión, la afiliación sindical o política, los pasatiempos, los datos de identificación o laborales de los padres y hermanos, entre otros muchos datos personales de los contratantes.
Para que me confeccionen unos lentes a medida, en virtud de la receta de un médico oftalmólogo, será desproporcional que el optómetra de la óptica elegida me solicite datos para hacer una “historia clínica” para el servicio de confección de los lentes, por más que alegue que es política del establecimiento, porque una política de una persona que nos ofrece un servicio o vende un producto no puede estar por encima de la ley y de nuestros derechos fundamentales.
Dar información excesiva y por lo tanto innecesaria para la finalidad contractual, que es la que habilita el tratamiento, sin haberse otorgado el consentimiento para gestionar la información personal para una finalidad no esencial al contrato, abre al conocimiento de aspectos de la persona cuyo uso por la otra parte será difícil de controlar.
e. Principio de seguridad
Conforme al artículo 9 de la Ley, el principio de seguridad supone la obligación para las partes contractuales, en su calidad de responsables del tratamiento de los datos de su contraparte, de adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales pertinentes a la relación contractual que los une. Establece, además, que las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate, así como con la tecnología utilizada para el tratamiento.
Las medidas de seguridad que se adopten variarán si el tratamiento de la información se hace en un banco de datos o fuera de él, si se utilizan medios digitales o no, si se tratan datos personales en general o se tratan datos personales sensibles, entre otros criterios.
Conforme al artículo 16 de la Ley, lo que se persigue con el cumplimiento de este principio es, por supuesto, garantizar la seguridad de la información y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Las medidas de seguridad dispuestas en la Ley están complementadas por el Reglamento, que establece medidas específicas entre los artículos 39 y 46, todas las cuales suponen obligaciones.
En efecto, ¿qué perjuicios podrían generarse si el tratamiento no seguro de la información personal posibilita que, por una brecha o falla de seguridad, la información personal de uno de los contratantes sea conocida por un tercero no autorizado? ¿O si se pierde el dato? ¿O se modifica o corrompe el dato necesario para la ejecución del contrato?
Además de la pérdida de confianza, puede generarse la posible paralización de la ejecución del contrato, como podría ser, por ejemplo, en el caso del contrato de suministro, en el que se borre o altere el dato de la dirección adonde se llevarán y entregarán los bienes en cumplimiento de las prestaciones periódicas en virtud de dicho contrato. Lo señalado es independientemente de que el titular del dato afectado pierda el control de la información que le atañe y desconozca las consecuencias negativas que le puede generar esta situación.
De manera tal que, sea quien trate el dato personal de la contraparte una persona natural o jurídica, debe implementar las medidas de seguridad adecuadas al tratamiento que se vaya efectuar y a los datos personales que vayan a tratar.
Alguien podría plantearse el siguiente cuestionamiento: pero ¿cómo una persona natural va a conocer y saber implementar las medidas de seguridad apropiadas? O, inclusive, en el caso de las personas jurídicas, que no todas están ni actúan en las mismas condiciones, especialmente pensando en aquellas pequeñas empresas o empresas unipersonales con recursos muy limitados, ¿cómo implementar esto que exige la Ley?
Pregunta que podría aparentemente resultar fuera de contexto si consideramos que en el Perú ya tenemos reconocido constitucionalmente este derecho hace veintiocho años y su ley de desarrollo constitucional con autoridad de control sobre la materia desde hace diez años; no obstante, si bien el nivel del conocimiento de la legislación sobre la materia está elevándose en nuestra sociedad, todavía se encuentra en un nivel bajo.
Para realizar un tratamiento adecuado de los datos personales, primero hay que conocer el derecho y su regulación. Por ello, consideramos que una medida básica es difundir el conocimiento de este derecho fundamental y crear la cultura de la protección de datos personales, lo cual es imperativo en el mundo digital donde nos encontramos.
4. DEBER DE CONFIDENCIALIDAD23
Los datos personales tratados en el contexto de un contrato deben ser objeto del cumplimiento del deber de confidencialidad por todos los que intervengan en alguna etapa de su tratamiento. Las partes contractuales, como responsables del tratamiento de los datos personales de su contraparte, deben implementar las medidas que impidan que esa información personal sea conocida y tratada por cualquier otra persona ajena a la relación contractual.
Dicho deber tiene que ser observado también en el caso de que exista un encargado del tratamiento de los datos personales o, en general, por cualquier persona que acceda a ellos por mandato de la contraparte responsable, y es esta quien debe adoptar las salvaguardas para dicho fin.
El deber de confidencialidad subsiste aún después de que se haya finalizado la relación contractual. Una violación al deber de confidencialidad podría suponer que el titular de los datos, ignorante de esta situación, pierda el control de la información que le concierne y no conozca a qué riesgos está expuesto.
5. NECESIDADES PARTICULARES DE ADECUACIÓN
Como ha quedado señalado, la Ley y su Reglamento se aplican a los tratamientos de datos personales que realicen tanto los particulares como el Estado.
Por otro lado, diversos actos regulados por el Código Civil pasan por una etapa de mayor formalización, legalización e incluso inscripción pública para su validez o conocimiento ante terceros. Etapas que también suponen el tratamiento de datos personales de las partes contractuales o de los intervinientes, según sea el caso.
¿Cómo determinas entidades estatales, como los Registros Públicos o el Registro Nacional de Identificación y Estado Civil (Reniec), tratan los datos personales contenidos en sus bancos de datos? Cuestionamiento cuya respuesta excede los objetivos de esta exposición, por lo que solamente lo dejaremos planteado.
Los Registros Públicos, conforme al artículo 2009 del Código Civil, se sujeta a lo dispuesto por dicho código, a sus leyes y reglamentos especiales.
El Reniec es la entidad encargada de organizar y mantener el registro único de identificación de las personas naturales e inscribir los hechos y actos relativos a su capacidad y estado civil24. Esta entidad tiene dentro de sus funciones registrar varios de los actos regulados por el Código Civil, tales como los nacimientos, los matrimonios, los divorcios, en otros que modifiquen el estado civil de las personas, así como las resoluciones judiciales o administrativas que a ellos se refieran y sean susceptibles de inscripción25.
Tanto los Registros Públicos como el Reniec, en el marco de sus competencias legalmente asignadas para la prestación de los servicios públicos que les corresponden, cuando tratan datos personales, deben observar la legislación sobre el derecho a la protección de datos personales y han de hacerlo porque están dentro del ámbito de aplicación de la Ley.
Con relación al Reniec, la Autoridad Nacional de Protección de Datos Personales lo ha señalado con claridad en la Opinión Consultiva 36-2020-JUS/DGTAIPD:
Esta Dirección General considera que los bancos de datos personales que administra el Reniec como entidad pública, se encuentran bajo el ámbito de la LPDP y su reglamento, por lo que dicha entidad deberá cumplir con las obligaciones que establece la legislación de la materia … Entre las obligaciones que señala el artículo 28, numeral 9, de la LPDP, podemos citar la obligación de las entidades públicas de inscribir sus bancos de datos personales ante el Registro Nacional de Protección de Datos Personales; la obligación de establecer un procedimiento sencillo para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (Derechos ARCO) del titular de los datos personales; y, la obligación de adoptar las medidas técnicas, organizativas y legales que garanticen la seguridad del tratamiento de datos personales, evitando su alteración pérdida, tratamiento o acceso no autorizado.
La quinta disposición complementaria de la Ley de Protección de Datos Personales, con relación a los bancos de datos creados con anterioridad a ella, lo que incluye a los de los Registros Públicos y del Reniec, señaló que dichos bancos de datos, así como sus respectivos reglamentos, debían adecuarse a la normativa sobre protección de datos personales en el plazo que estableciera el Reglamento, plazo que fue de dos años26, los cuales vencieron en mayo del 2015, por lo que, a mayo del 2015, dichos bancos de datos personales debían estar adecuados a la legislación sobre dicha materia.
Con respecto a las notarías, adonde van diversos actos regulados por el Código Civil para determinados fines, sería bueno preguntarnos si se ha realizado la adecuación de sus funciones a la Ley de Protección de Datos Personales. No olvidemos que dentro del archivo notarial aparecen contratos, separaciones de patrimonios, divorcios, testamentos, apoyos, etcétera.
Conforme a la Ley del Notariado, aprobada por el Decreto Legislativo 1049, podemos observar que, en virtud de lo dispuesto por su artículo 82, sobre la “Responsabilidad en la expedición de instrumentos públicos”, se dispone que “el notario expedirá, bajo responsabilidad, testimonio, boleta y partes, a quien lo solicite, de los instrumentos públicos notariales que hubiera autorizado en el ejercicio de su función. Asimismo, expedirá copias certificadas de las minutas que se encuentren en su archivo notarial”.
Asimismo, en el artículo 93, sobre la “Obligación de manifestar documentos”, se establece que el notario está “obligado a manifestar los documentos de su archivo a cuantos tengan interés de instruirse de su contenido. Esta manifestación se realizará bajo las condiciones de seguridad que el notario establezca”.
Por lo que, conforme a la legislación que regula la función notarial, el notario bajo responsabilidad debe expedir diversos instrumentos públicos que ha autorizado en el ejercicio de su función; además, está obligado a manifestar los documentos de su archivo a cualquier persona que muestre interés en conocerlos, no que demuestre un interés legítimo, sino a cualquier persona que los solicite, con lo cual los datos personales de las personas que han intervenido en dichos actos jurídicos estarían pasando a ser tratados por cualquier persona que los haya solicitado.
A la fecha no hay ninguna disposición que regule o limite estas funciones notariales en atención al derecho a la protección de datos personales de las personas que han intervenido en los actos civiles que forman parte del archivo notarial, y se ha dejado a cada notario la responsabilidad de actuar según su criterio en cada caso concreto. Consideramos que esta situación debe merecer una atención para su adecuación a la legislación sobre protección de datos personales.
6. ¿QUÉ PUEDE HACER EL TITULAR DE UN DATO PERSONAL QUE ES PARTE DE UN CONTRATO EN EL QUE LA INFORMACIÓN QUE LE CONCIERNE ESTÁ SIENDO TRATADA INDEBIDAMENTE POR LA CONTRAPARTE?
Al titular del dato personal que es parte de un contrato —o, si lo ampliamos, a cualquiera cuyos datos personales están siendo tratados en virtud de un acto jurídico regulado por el Código Civil— le corresponde una serie de derechos, los derechos ARCO, en su calidad de titular de la información. Derechos mediante los cuales va a poder ejercer el control sobre el tratamiento de su información que su contraparte está realizando. Así podrá solicitar acceso a la información sobre las actividades de tratamiento realizadas, las finalidades hacia las que ha dirigido las actividades de tratamiento, que se rectifique su información, que la actualice, que la suprima o la cancele o también puede oponerse al tratamiento de algún dato, según sea el caso.
Si la contraparte le deniega total o parcialmente el ejercicio de su derecho, el titular que se considere afectado podrá recurrir a dos clases de tutelas:
a. La tutela administrativa. Es la que brinda la Ley de Protección de Datos Personales a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, que es la autoridad de control sobre la materia y se encuentra en el Ministerio de Justicia y Derechos Humanos. Se pide vía reclamación su intervención, según lo dispone el artículo 24 de la Ley, con el epígrafe “Derecho a la tutela”.
En un contrato, las partes no deben perder de vista que, independientemente de la autoridad judicial a la que se pueda recurrir frente a un incumplimiento de la obligación objeto del contrato respectivo, siempre la parte contractual que en su calidad de titular del dato considere que se le ha denegado el ejercicio de sus derechos ARCO o ha sido atendida de manera insuficiente en lo que respecta a su derecho a la protección de datos personales podrá recurrir a la Autoridad Nacional de Protección de Datos Personales para la tutela de este derecho.
Dicha autoridad, también será competente por medio de un procedimiento administrativo sancionador para imponer multas al responsable del tratamiento que incurre en una infracción a la Ley o al Reglamento.
b. La tutela jurisdiccional. El titular del dato también podría recurrir a la tutela jurisdiccional que ya existía desde la Constitución de 1993 y está regulada por el Código Procesal Constitucional, a través del proceso del habeas data.
Hay que tener presente que, cuando se creó la autoridad administrativa, por medio de la Ley, dieciocho años después del reconocimiento constitucional del derecho y de la garantía del habeas data, lo que se buscaba era reforzar la tutela jurisdiccional existente para la protección de ese derecho fundamental, sumándole una tutela de carácter administrativo.
Un aspecto importante a recordar y tener en cuenta es que, a diferencia de los otros derechos fundamentales, salvo el de acceso a la información pública, el derecho a la protección de datos personales es el único que cuenta con una ley de desarrollo constitucional y una autoridad administrativa de control sobre la materia, con el objetivo de reforzar su protección frente a los indebidos tratamientos de la información que concierne a las personas.
El esquema de la regulación de protección de los datos personales que desde el 2011 se ha dado en el Perú solo sigue lo que en el mundo cada día cobra mayor atención desde la acción de los Estados para enfrentar las amenazas de violación al derecho a la protección de los datos personales en la era digital en la que nos encontramos. Como datos podemos señalar que, al mes de junio del año en curso, existen en el mundo ciento cuarenta países (72,54 %) con regulación general sobre la materia (al estilo de nuestra Ley 29733) y noventa y tres autoridades de protección de datos con una tendencia de crecimiento27.
En la actualidad el tratamiento de los datos personales se hace cada día con mayor frecuencia usando las tecnologías de la información y la comunicación, las cuales hemos incorporado a nuestra vida diaria. No es raro pasar un contrato por el correo electrónico o por WhatsApp, usando para ello nuestros ordenadores o nuestros celulares inteligentes, tecnologías que, junto a sus ventajas, suponen riesgos para los derechos de la persona por el crecimiento constante de sus capacidades, que permiten cada día más formas de tratamiento de los datos personales: invasivos, excesivos, en tiempo real, a gran escala, etcétera.
El tratamiento de los datos personales por medio de las TIC genera más espacios en los que la persona humana puede perder el control de sus datos sin siquiera conocerlo; por ello, es necesario plantearnos la siguiente pregunta: ¿todo lo tecnológicamente posible es lo legalmente permitido o todo lo tecnológicamente posible es lo éticamente deseable? La respuesta —creemos— es negativa, sin perjuicio del análisis correspondiente en cada caso concreto.
Las normas que regulan el tratamiento de los datos personales no buscan dificultar la realización o ejecución de los actos civiles, sino más bien que ellos se realicen con el respeto de la persona humana y su dignidad, así como colaborar en el marco de la confianza y buena fe propia de las relaciones civiles.
Fomentar la cultura de la protección de datos personales ayudará a incorporar a las personas naturales, que resultan responsables del tratamiento de la información de su contraparte contractual, a la senda del cumplimiento de la Ley y promoverá el mayor cumplimiento de ella por parte de las personas jurídicas, sea que lucren con el tratamiento de los datos personales o que realicen actividades de tratamiento con diferentes fines. No está de más tener presente también que, frente al incumplimiento de la Ley y del Reglamento, existen sanciones como las multas, con montos que van desde el 0,5 del valor de la UIT hasta las 100 UIT.
Para concluir, deseamos enfatizar en la necesidad del funcionamiento sinérgico de los elementos que conforman “la triple base para la efectiva protección de los datos personales”:
— La Autoridad Nacional de protección de Datos Personales, que requiere autonomía e independencia para el cumplimiento adecuado de sus importantes funciones.
— Los responsables del tratamiento o titulares de los bancos de datos, que deben realizar un adecuado tratamiento de la información personal a su cargo, conforme a lo establecido en la Ley y el Reglamento.
— El titular del dato personal, quien debe conocer su derecho para tomar conciencia de él y poder gestionar con responsabilidad su información personal.
REFERENCIAS
Expediente 01127-2013-HD/TC (Lima). (2014, 16 de abril). Tribunal Constitucional: Pleno Jurisdiccional. https://www.tc.gob.pe/jurisprudencia/2014/01127-2013-HD%20Resolucion.pdf
Expediente 1797-2002-HD/TC (Lima). (2003, 29 de enero). Tribunal Constitucional: Sala Primera. https://tc.gob.pe/jurisprudencia/2003/01797-2002-HD.html
Oficio 156-2017-JUS/DGTAIPD. (2017, 13 de septiembre). Ministerio de Justicia y Derechos Humanos: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. https://cdn.www.gob.pe/uploads/document/file/1465757/Condiciones%20para%20el%20tratamiento%20de%20datos%20personales%20contenidos%20en%20fuentes%20accesibles%20al%20p%C3%BAblico%20y%20tratamiento%20de%20la%20informaci%C3%B3n%20de%20solvencia%20patrimonial%20y%20cr%C3%A9dito..pdf
Opinión Consultiva 07-2019-JUS/DGTAIPD-DPDP. (2019, 6 de febrero). Ministerio de Justicia y Derechos Humanos: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. https://cdn.www.gob.pe/uploads/document/file/1474123/Limitaciones%20al%20consentimiento%20cuando%20se%20de%20tratamiento%20a%20datos%20relacionados%20a%20la%20salud%2C%20de%20conformidad%20al%20articulo%2014%2C%20numeral%206%2C%20de%20la%20Ley%20No.%2029733.pdf
Opinión Consultiva 36-2020-JUS/DGTAIPD. (2020, 31 de julio). Ministerio de Justicia y Derechos Humanos: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. https://cdn.www.gob.pe/uploads/document/file/1469362/Consulta%20sobre%20el%20%C3%A1mbito%20de%20aplicaci%C3%B3n%20de%20la%20Ley%20de%20Protecci%C3%B3n%20de%20Datos%20Personales..pdf?v=1606781096
Opinión Consultiva 48-2018-JUS/DGTAIPD. (2018, 3 de septiembre). Ministerio de Justicia y Derechos Humanos: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. https://cdn.www.gob.pe/uploads/document/file/1473975/Interpretaci%C3%B3n%20de%20%C3%BAltimo%20p%C3%A1rrafo%20del%20art%C3%ADculo%2018%20de%20la%20Ley%20de%20Protecci%C3%B3n%20de%20Datos%20Personales%2C%20respecto%20al%20mecanismo%20de%20informaci%C3%B3n%20eficaz%20para%20que%20el%20titular%20del%20dato%20personal%20sea%20informado%20del%20nuevo%20encargado%20del%20tratamiento..pdf?v=1626189750
Rubio Correa, M. (2005). La vigencia y validez de las normas jurídicas en la jurisprudencia del Tribunal Constitucional. THĒMIS. Revista de Derecho, (51), 7-18.
Sentencia 04729-2011-PHD/TC (Puno). (2012, 11 de mayo). Tribunal Constitucional: Sala Segunda. https://www.tc.gob.pe/jurisprudencia/2013/04729-2011-HD.pdf
Troncoso, A. (2011). La protección de datos personales. Una reflexión crítica de la jurisprudencia constitucional. Cuadernos de Derecho Público, (19-20), 231-334. https://revistasonline.inap.es/index.php/CDP/article/view/698/753
Zamudio Salinas, M. (2012). El marco normativo latinoamericano y la Ley de Protección de Datos Personales del Perú. Revista Internacional de Protección de Datos Personales, (1), 2-21. https://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/ok3_Ma.-de-Lourdes-Zamudio_FINAL.pdf
Zamudio Salinas, M. (2014). La Ley de Protección de Datos Personales peruana. Reflexiones comparativas. En J. A. Travieso (Dir.), Régimen jurídico de los datos personales (t. II, pp. 1159-1162). Abeledo Perrot.
Zamudio Salinas, M. (2020). El derecho a la autodeterminación informativa. Algunos aspectos relevantes de su configuración desde el proceso del hábeas data. En E. Blume Fortini (Dir.) & L. R. Sáenz Dávalos (Coord.), El hábeas data en la actualidad. Posibilidades y límites (pp. 333-360). Centro de Estudios Constitucionales del Tribunal Constitucional del Perú.
Bibliografía
Piñar Mañas, J. L. (2006). El derecho fundamental a la protección de datos personales. En J. L. Piñar Mañas (Dir.), A. Canales Gil, M. J. Blanco Antón & M. Ortuño Sierra (Coords.), Protección de datos de carácter personal en Iberoamérica (2.a ed., pp. 19-36). Tirant Lo Blanch.
1 La regulación sobre la protección de datos personales en el Perú surge dentro de un contexto normativo internacional y concretamente regional que lo condiciona y explica. Véase Zamudio Salinas (2012, 2014).
2 Artículos 18 a 24.
3 Artículos 4 a 11.
4 Artículo 2, inciso 17: “Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad”.
5 Artículo 2, inciso 14, del Reglamento de la Ley: “Responsable del tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales”.
6 Artículo 2, inciso 10, del Reglamento de la Ley: “Encargado del tratamiento: Es quien realiza el tratamiento de los datos personales, pudiendo ser el propio titular del banco de datos personales o el encargado del banco de datos personales u otra persona por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento de datos personales por orden del responsable del tratamiento cuando este se realice sin la existencia de un banco de datos personales”.
7 Salvo que no se encuentren dentro del ámbito de aplicación de la ley, lo que está regulado en el artículo 3: “Las disposiciones de esta Ley no son de aplicación a los siguientes datos personales: 1. A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar. 2. A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito”.
8 Visualizado al 31 de mayo del 2021 en https://www.minjus.gob.pe/wp-content/uploads/2019/09/Tus-Datos-Personales-est%C3%A1n-Protegidos-%E2%80%93-Ley-N%C2%B0-29733-1.pdf y en https://www.minjus.gob.pe/wp-content/uploads/2014/02/Cartilla-Derecho-Fundamentalok.pdf
9 Ley 29733, artículo 14.
10 Ley 29733, artículo 24.
11 Ley 29733, artículo 2, inciso 16.
12 Ley 29733, artículo 24.
13 Acceso, rectificación, cancelación y oposición.
14 Constitución, artículo 200, inciso 3, y Código Procesal Constitucional, Ley 28237, artículo 61, inciso 2.
15 Que debe ser libre, previa, expresa, inequívoca e informada, conforme al artículo 12 del Reglamento de la Ley.
16 Artículo 2, inciso 1: “Banco de datos personales. Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso”.
17 Que son considerados contratos más comerciales que civiles, pero que están incorporados en el Código Civil.
18 Esto en atención a su naturaleza relacional. Véase la sentencia recaída en el Expediente 1797-2002-HD/TC, fundamento jurídico 3.
19 Diferencia entre validez, vigencia y eficacia de la norma jurídica. Véase Rubio Correa (2005).
20 Y 12 del Reglamento de la Ley.
21 Opinión Consultiva 07-2019-JUS/DGTAIPD-DPDP, punto 7 de su análisis.
22 Como la argentina, Ley 25.326: “ARTÍCULO 1°-(Objeto). La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios
23 Ley 29733, artículo 17, “Confidencialidad de datos personales”.
24 Ley Orgánica del Registro Nacional de Identificación y Estado Civil, Ley 26497, artículo 2.
25 Ley Orgánica del Registro Nacional de Identificación y Estado Civil, Ley 26497, artículo 7, inciso b).
26 Conforme a lo dispuesto por la primera disposición complementaria transitoria del Reglamento.
27 Fuentes: Greenleaf (2021), Banisar (2014), Remolina (2015-2021), Privacy International (2014), OEA, NYMITY (2014), IAPP (2019), DLA Piper (2019), CNIL (2019), RIPD (2019), GECTI (2015), Observatorio Ciro Angarita Barón-Universidad de los Andes (2015-2021), ONU (2021), SIC (2021).
* Abogada por la Universidad de Lima, con Maestría en Derecho Constitucional en la Pontificia Universidad Católica del Perú. Miembro nata de la Red Iberoamericana de Protección de Datos (2003-2008). Experta invitada de la Red Iberoamericana de Protección de Datos desde el 2008. Miembro fundadora y secretaria de actas y legislación de la Red Académica Internacional de Protección de Datos Personales y Acceso a la Información (Monterrey, México; 2011-2013). Experta certificada en protección de datos. IAIT G. Institute of Audit & IT-Governance. Miembro de la Asociación Peruana de Derecho Constitucional. Consultora, articulista y expositora nacional e internacional en materia de protección de datos. Miembro de la comisión consultiva que en calidad de especialista asesoró a la comisión multisectorial encargada de elaborar el Reglamento de la Ley 29733, Ley de Protección de Datos Personales, creada mediante la Resolución Suprema 180-2011-PCM. Miembro de la comisión especial encargada de proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan, creada por Resolución Ministerial 094-2002-JUS. Profesora sobre la materia de protección de datos en la Universidad de Lima, ESAN y UNED.
técnicos de tratamiento de datos, sean estos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional”.