La reciente decisión de la Dirección General de Protección de Datos Personales que sanciona a Google por negarse a retirar los resultados de búsqueda asociados a un ciudadano peruano ha generado diferentes reacciones. Al respecto, recomiendo las columnas de Andrés Calderón y Marco Sifuentes para El Comercio y, del otro lado, la que escribió el propio Jefe de la Autoridad de Protección de Datos en La Ley cuatro días después de resolver el caso en marzo de 2016.
Quizás la primera reacción es preguntarse por qué recién hemos empezado a hablar de un caso que se decidió a inicios de marzo. En principio, las resoluciones se publicaron en la página web del Ministerio de Justicia recién a finales de abril de este año. Desde mayo empezamos a investigar el caso en Hiperderecho y, mientras trabajábamos en nuestro análisis, nos sorprendió que el propio Ministerio de Justicia no haya publicado ninguna nota de prensa ni tampoco Google se haya pronunciado al respecto. A su vez, pese a que ambas resoluciones ya era públicas, ningún medio de comunicación pareció notar o interesarse en la historia.
Disipada la novedad de la noticia, ahora nos queda pensar en lo que esta decisión va a significar en corto y mediano plazo para todos nosotros. Lo primero a tener en cuenta es que esta decisión no es definitiva, dado que puede ser revertida por el Poder Judicial y por lo tanto el final de esta historia puede tardar años en llegar. Por ahora, sabemos que según la interpretación de la Autoridad de Protección de Datos, los buscadores de Internet realizan un tratamiento de datos independiente de las fuentes originales y están obligados a respetar las solicitudes de cancelación u oposición de los ciudadanos. Sobre esta lectura, la pregunta se abre a dos niveles:
- Si es que esta interpretación es una lectura correcta del texto de la Ley de Protección de Datos Personales.
- Si esta interpretación correcta, si lo estipulado por la Ley de Protección de Datos Personales refleja los valores de verdad, memoria y libertad de información que sustentan nuestra sociedad.
Si el Poder Judicial aborda correctamente el fondo del caso, estas son las preguntas que tendrá que respondernos.[1] A mí me quedan tres preguntas adicionales sobre la decisión en sí mismas, que creo que inciden en temas que merecen mayor atención en el futuro.
La primera es la pregunta sobre a qué sujetos o empresas de Internet se les puede aplicar la Ley de Protección de Datos. En este caso, la Autoridad aplicó la ley peruana un servicio como Google Search prestado por la empresa extranjera Google Inc. La Autoridad se consideró competente porque el tratamiento: (i) se efectuaba “en parte” en un establecimiento ubicado en Perú, (ii) se realizaba por medio de un responsable del tratamiento que podía ser ubicado en territorio nacional (Google Peru S.R.L.), (iii) se registraban páginas web almacenadas en servidores peruanos, y, (iv) la empresa puede ser notificada vía correo electrónico. Bajo estos criterios, parecería que otras empresas cuyos servicios son accesibles desde Perú y muestran información de peruanos podrían resultar bajo el alcance de la Autoridad, estén o no domiciliadas en el país o sus servidores localizados aquí. Esto incluiría a Facebook, Twitter, Amazon, Salesforce, entre otros.[2]
Otro aspecto que no queda claro en la decisión de la Autoridad es cómo deberá de ejecutarla Google. En la primera decisión, la Autoridad solo se limitó a exigirle que bloquee “toda información o noticia relacionada la materia […] que aparece en los resultados del motor de búsqueda.” En la resolución que resuelve el Recurso de Reconsideración, la Autoridad desarrolla este mandato señalado una lista de dieciséis (16) enlaces permanentes a sitios web que deberán de bloquearse. Sin embargo, nada se señala sobre si este bloqueo deberá de operar exclusivamente en el dominio peruano de Google (.com.pe) o si también deberá de realizarse en el resto del mundo. En otros casos, Google ha optado por limitarse a hacerlo en el dominio del país donde se emitió la orden, manteniendo los resultados intactos en Google.com. Recientemente, ha decidido obedecer la orden de bloqueo según la ubicación geográfica de la dirección IP desde donde se origina la búsqueda.
Un tercer asunto controvertido es qué tipo de actividades en Internet son consideradas por la Autoridad como tratamiento de datos personales. Aunque es un asunto mencionado tangencialmente, la última resolución señala que realizan tratamiento tanto las páginas web que publican originalmente la información como los buscadores que las indexan y enlazan. Es decir, para la Dirección cualquier página web que muestra o menciona los datos personales de cualquier ciudadano peruano queda expuesta a recibir solicitudes de cancelación u oposición de datos por parte de peruanos. En sus propias palabras:
Es decir, la DGPDP considera como tratamiento de datos personales:
• A la actividad efectuada por los editores de sitios web (administradores o webmaster), toda vez que son los responsables de subir a internet la información.
• A la actividad efectuada por los prestadores de servicios de búsquedas (motores de búsqueda), toda vez que son los responsables de catalogar y facilitar en internet la información. Desde el momento en que los motores de búsqueda deciden: en qué formato, bajo qué criterios de búsqueda, en qué idioma, entre otros aspectos técnicos, pueden los usuarios de internet a acceder a la información, ya está realizando un tratamiento de datos personales, aunque no sean ellos los editores de los contenidos.
Bajo esta lectura de la Ley, ¿un diario o un medio de comunicación online podría recibir y estaría obligado a atender los pedidos de cualquier ciudadano que no desea que datos personales como su nombre aparezcan en su página web? En el 2014, la Autoridad conoció de la denuncia de un ex Ministro de Trabajo contra El Comercio precisamente por este motivo y determinó que existían “razones concretas que justifican un interés público preponderante en tener acceso a la referida información.” Es decir, no negó la posibilidad de que la ley se aplique en ese sentido pero determinó que en ese caso en particular no resultaba exigible. Sin embargo, sí dejó entrever que en otros casos el interés público por conocer un hecho puede extinguirse en el tiempo y resulte exigible “editar” la publicación para retirar los datos del reclamante.
Para ello, se debe evaluar la importancia que conlleva mantener de forma permanente una absoluta accesibilidad a los datos personales contenidos en noticias, cuya relevancia informativa puede devenir en inexistente en el contexto actual. Asimismo, debe tener en cuenta los efectos sobre la privacidad de las personas que deriva de ello, considerando además si la persona involucrada desarrolla actividad de relevancia pública.
Como se aprecia, son varias las preguntas que todavía quedan por resolver en la interacción entra la Ley de Protección de Datos e Internet en Perú. Parte importante de elevar el nivel de cumplimiento y adecuación a este marco normativo va a ser resolver estas dudas.
Ilustración: Google Doodle en homenaje a José Sabogal
- Existe la posibilidad de que toda la discusión posterior de este caso se centre en la jurisdicción. Es decir, en la pertinencia de la notificación a una empresa extranjera como Google a través de una empresa vinculada domiciliada en el país o a través de correo electrónico. Aunque este es un asunto controvertido en el caso, sería lamentable que por atenderlo el Poder Judicial se abstenga de ejercer control difuso sobre la Ley de Protección de Datos Personales. ↩
- Este es un criterio novedoso porque, en el pasado, la Autoridad se ha declarado no competente porque la web estaba alojada en el exterior o no se podía dar con el domicilio del responsable (ej. 1, 2). ↩
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).