Protección de Datos Personales, Datos Perú y las normas legales

La semana pasada se hicieron públicas dos decisiones de la Autoridad de Protección de Datos Personales (APDP), el órgano administrativo creado por la Ley de Protección de Datos Personales para fiscalizar su cumplimiento, multando a la web Datos Peru con 60 UITs. Aunque la APDP viene conociendo procedimientos de reclamación desde fines del 2013, se trata del primer caso conocido en el que se ha llegado a imponer una multa.

En ambos casos, dos ciudadanos presentaron sendas reclamaciones contra DatosPeru porque había desconocido sus solicitudes de eliminar sus nombres de su página web. Específicamente, las páginas reclamadas eran las correspondientes a una Resolución Ministerial y un Decreto de Alcaldía publicados originalmente en el boletín de normas legales de El Peruano y republicadas íntegramente por DatosPeru. En sus resoluciones, la APDP consideró que estas normas legales debieron de haberse previamente anonimizado antes de hacerse públicas y que el que hayan sido publicadas en El Peruano no autorizaba a que otras personas lo hagan también en igual condición.

El primer tema controversial en ambas decisiones es la determinación de la jurisdicción aplicable a DatosPeru. Según el Reglamento de la Ley de Protección de Datos Personales, la APDP solo es competente en en las reclamaciones contra personas domiciliadas en el territorio nacional o cuando el tratamiento se lleve a cabo en Perú. En este caso, no se pudo demostrar la afiliación de DatosPeru con una persona jurídica local o un número de IP correspondiente al país (según el registro WHOIS). Lo que finalmente llevó a la APDP a establecer el domicilio de la reclamada en Perú fue la dirección que consignó como domicilio en su página de Facebook (¡!). Este es un punto polémico porque la misma APDP en dos ocasiones ya había declarado inadmisible otras reclamaciones porque no se pudo acreditar el domicilio en Perú de los reclamados. Sin embargo, en este caso, una prueba tan débil como esa terminó inclinando la balanza y sirviendo para establecer la jurisdicción de la APDP. Sin embargo, incluso habiendo “asumido” el domicilio, no se pudo determinar con exactitud la persona jurídica responsable de la página y ello representará un problema para el cumplimiento de la resolución.

Pero el auténtico tema de fondo es si la APDP resolvió adecuadamente al determinar que las normas legales publicadas en el El Peruano solo pueden republicarse previo proceso de anonimización. Aunque DatosPerú quizás es más conocida por republicar la base de datos de contribuyentes de SUNAT, otra de sus labores es la de republicar el boletín de normas legales de El Peruano. Dado el paupérrimo estado de la publicidad de las normas legales en nuestro país, no sorprende que este sea un servicio ofrecido y demandado por muchos. Pero a diferencia de El Peruano o SPIJ, DatosPeru republica el texto de las normas legales gratuitamente, en un formato accesible y permite su indexación por buscadores (algo que los otros dos impiden vía archivos robots.txt: 1, 2). Precisamente esta disponibilidad a través de buscadores parece ser una de las cosas que distingue, según la Autoridad, la actividad de Datos Perú de l que realiza El Peruano. Adicionalmente, para la APDP, el que un documento haya sido previamente publicado en el Diario Oficial “no faculta al reclamado a realizar un tratamiento de datos personales que resulta perjudicial para el reclamante y que no se justifica en el interés público”.

Finalmente, la APDP sustenta su decisión en una interpretación extensiva del Reglamento de Protección de Datos Personales que señala que los “repertorios de jurisprudencia” podrán ser considerados como fuentes accesibles al público siempre que estén debidamente anonimizados (es decir, con los nombres y datos personales borrados). En los casos que motivan estas resoluciones, sin embargo, no estamos frente a jurisprudencia sino a normas legales de carácter particular. Ninguna base de datos que incluye este tipo de normas, incluyendo la que comercializa el propio Ministerio de Justicia, tiene los datos personales de los involucrados anonimizados. Bajo esta interpretación, son muchas las entidades públicas y empresas que pueden ser sancionadas al publicar sus normas sin borrar el nombre de las personas involucradas.

La Ley de Protección de Datos Personales, luego de tres años y medio de haber sido publicada, es usada por primera vez para imponer una sanción. Lamentablemente, creo que este primer precedente pudo estar mejor escogido. Además de los múltiples problemas de ejecución que representa intentar hacer cumplir una decisión a una empresa fantasma, resulta problemático orientarla contra la publicidad de las normas legales. En principio, porque existen muchísimas otras situaciones donde la infracción a la protección de los datos personales es incontestable y constituyen prácticas generalizadas en el mercado. Pero también porque el criterio de que la información pública estatal como las Normas Legales solo puede replicarse siempre y cuando esté anonimizada parece excesivo desde el punto de vista de la transparencia y el acceso a la información pública.

¿Existe un interés público en saber que tal o cual persona fue separada de un cargo, nombrada o su renuncia fue aceptada mediante una Resolución Ministerial o una decisión municipal? Yo creo que sí. Ese tipo de información se publica en el Diario Oficial con nombres y apellidos porque no solo sirve de aviso general sino también porque al hacerlo pasa a integrar un registro público inalterable. Proyectos de periodismo de datos tan valiosos como Verita o Publitobot, precisamente se apoyan en este tipo de registros públicos para indagar en la vida pública de futuros alcaldes, congresistas y ministros. El derecho a la protección de datos personales, entendido como lo reflejan las decisiones de la APDP, puede ser una herramienta peligrosa para que cualquier persona que fue sancionada, separada de un cargo o procesada pueda borrar todo rastro del hecho de cualquier repositorio público.