Existen actualmente diferentes excepciones a la ley de protección de datos peruana que impide a los ciudadanos ejercer su derecho a controlar la forma cómo se trata su información personal para fines de seguridad ciudadana. 

1. ¿En qué consiste?

Las leyes de datos personales suelen ser creadas con el fin de establecer las condiciones bajo las cuales se recopila y almacena información de carácter personal, así como quiénes están autorizados para hacerlo y cuáles son los derechos que tienen los titulares de dichos datos. El objetivo es generar un ecosistema de confianza que permita el uso de esta información, sin que se vulnere el consentimiento o la privacidad de las personas. En algunos casos las leyes otorgan la posibilidad de que el tratamiento de los datos se realice solo con autorización previa, pero en algunos casos puede realizarse por mandato legal.

En el Perú, desde el año 2011 se cuenta con una ley de protección de datos personales que tiene como objetivo proteger el uso de la información de las personas. En ella se recogen los escenarios bajos los cuales se autoriza su recopilación y tratamiento, así como los derechos que tienen los titulares que son: Derecho de acceso, rectificación, cancelación y oposición (ARCO). Existe también una Autoridad Nacional de Protección de Datos encargada de supervisar el cumplimiento de esta norma. Sin embargo, también existen excepciones contempladas en dicha ley. Una de las más amplias es la que autoriza a las entidades públicas a tratar datos personales de los ciudadanos sin necesidad de consentimiento y con reglas poco claras sobre su tratamiento posterior.

2. ¿Dónde está reconocida?

Julio 2011: Ley de Protección de Datos Personales y su Reglamento

• Señala que la ley no aplica a los datos administrados por entidades públicas, siempre que su tratamiento resulte necesario para que estas cumplan con sus competencias, por motivos de defensa nacional o de seguridad pública. (Ley de Protección de Datos Personales, Artículo 3, inciso 2; Reglamento, Artículo 4)

3. Contexto

Las políticas públicas relacionadas al tratamiento de datos personal son una iniciativa importante en el marco del reconocimiento de la autodeterminación informativa, que consiste en el derecho de cualquier persona a ejercer control sobre su información personal contenida en registros públicos o privados. Durante los últimos veinte años, el desarrollo de este derecho, íntimamente ligado al de la privacidad, ha propiciado la aparición de leyes y entidades que buscan proteger el uso de los datos personales, entregando mayores herramientas para su fiscalización, en especial teniendo en cuenta el alto nivel de digitalización y automatización de la recolección de información.

Desde 2011, el Perú cuenta con su propia ley de protección de datos. Esto significa que cualquier entidad pública o privada que desee almacenar datos personales debe contar con autorización previa de sus titulares y realizar el tratamiento exclusivamente con los fines para los cuales solicita dicha información. No obstante, como dijimos, la ley peruana presenta tres excepciones: (i) cuando se trata del tratamiento de datos por parte de entidades públicas, (ii) con motivo del cumplimiento de sus funciones, o (iii) razones de seguridad pública o defensa nacional.

Empleando estas excepciones, diferentes entidades públicas no requieren solicitar permiso a los titulares de los datos para tratar o compartir su información. Esto implica a veces que tampoco puedan hacer uso de los derechos ARCO, especialmente cuando la información se almacena por motivos de seguridad pública o defensa. Esto último hace que se puedan llevar a cabo tareas de recolección y tratamiento muy intrusivas que no están sujetas a fiscalización. En los últimos cinco años, han aparecido diferentes leyes y disposiciones que crean nuevas situaciones en donde se utiliza esta excepción: Por ejemplo: las leyes que obligan a colocar cámaras de vigilancia, las que crean un mecanismo para obtener y almacenar datos de geolocalización, las que obligan a realizar autenticaciones biométricas, etc.

Pese a que existe una Autoridad de Protección de Datos que debe vigilar el cumplimiento de esta norma, existen tantos supuestos en donde se aplican las excepciones, que no es posible saber si en todos los casos se toman medidas de seguridad o se tratan los datos respetando los derechos de privacidad e intimidad de las personas. Las entidades públicas que se amparan en estas excepciones tampoco son muy transparentes a la hora de revelar cómo protegen la información que recolectan.

4. ¿Cuál es el problema?

Las leyes de protección de datos personales son positivas, pues representan un límite al uso de la información personal realizada por entidades públicas y privadas. El problema es que estas normas suelen incorporar excepciones, casi siempre pensadas para no obstruir el trabajo que realizan ciertas entidades públicas como las que llevan el registro civil, pero que terminan siendo empleadas también por las fuerzas de seguridad del Estado, que suelen operar de forma poco transparente, y sobre las cuales es muy difícil ejercer control alguno.

En el Perú, algunos de los problemas asociados a esta política pública son:

1. Afectan el derecho a la privacidad de todas las personas porque el almacenamiento de sus datos personales se realiza sin su autorización y no existen disposiciones para oponerse o fiscalizar que el tratamiento se realiza con estándares de seguridad y necesidad.

5. ¿Existen políticas públicas similares en la región y el mundo?

En la mayoría de países del mundo existen leyes de protección de datos personales, que son más o menos garantistas con el derecho de autodeterminación informativa. En ese sentido, queremos comparar el caso del Perú con el de otros países. Para ello vamos a tomar dos ejemplos:

a) Chile

Chile fue uno de los primeros países en implementar leyes de protección de datos. Su norma principal, la Ley N° 19.628 de 1999, disponía la necesidad de inscribir los bancos de datos personales a ser tratados y exigir autorización de sus titulares. De forma similar que la norma peruana, la ley chilena contempla dos excepciones: Cuando la información se trata con fines de “Seguridad Nacional” o en “Interés de la Nación”. Hasta hace muy poco, Chile no contaba con una autoridad encargada de vigilar directamente el cumplimiento de esta norma y analizar los casos en disputa, pero desde 2018 se han encargado estas funciones a su Autoridad de Transparencia.

b) Unión Europea

A partir de 2016, entró en vigencia la política europea para la protección de datos: El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), una norma que obliga a todas las empresas que tratan datos personales en países europeos o de ciudadanos europeos a obtener siempre autorización expresa de sus titulares. Además de los derechos ARCO, incorpora también otros derechos como el “derecho al olvido” (desindexación o eliminación de contenidos caducos o inexactos) y el derecho a la portabilidad de los datos personales. Así mismo, incorpora obligaciones nuevas para las entidades privadas, como que estas deben informar si han sufrido incidentes de seguridad. No obstante, igual que en Perú, persisten las excepciones destinadas a permitir el funcionamiento de entidades de registro y de las fuerzas públicas.

¿Quieres saber más?

El ABC de la protección de datos personales (2017)
Enfoque Derecho: ¿Fortalecimiento del régimen de protección de datos personales? (2017)
Hiperderecho: Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos (2018)
Informe Quién Defiende Tus Datos (2019)
La nueva regulación europea de datos personales y su impacto en nuestro país (2019)

Esta entrada es parte de nuestra serie especial Privacidad es seguridad gracias al apoyo de Privacy International.