En agosto de este año se publicó el Proyecto de Reglamento de la Ley 29733, Ley de Protección de Datos Personales, así como su Exposición de Motivos, en la página web del Ministerio de Justicia y Derechos Humanos. Este no es, sin embargo, el primer intento de modificación del marco normativo actual de protección de datos personales en el que se pretendía incorporar cuestiones relacionadas a los incidentes de seguridad, el Oficial de Datos Personales, la designación de un representante en territorio peruano, entre otros. En efecto, previamente, en el 2021, se presentó el Proyecto de Ley 7870/2020-PE, que proponía crear la Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, así como realizar algunas de las modificaciones a la Ley que ahora se propone realizar a través de vía reglamentaria.
Así, los intentos de modificación a la Ley de Protección de datos personales, como el reciente Proyecto de Reglamento o el citado Proyecto de Ley, obedecen a la necesidad de actualizar el marco normativo vigente de protección de datos personales. Es claro que la situación actual de las grandes plataformas de Internet y de los diversos servicios digitales no es la misma que hace 10 años. De la misma forma, también ha variado el número de usuarios/as peruanos/as con acceso a Internet, se ha modernizado el mercado a través de las compras en línea y hemos presenciado la digitalización de servicios públicos. Este panorama nos lleva a la conclusión de que podría ser necesaria una actualización de dicho marco normativo. Ante ello ¿Cuáles son los principales cambios que propone el Proyecto del Reglamento? ¿Qué aspectos positivos y qué aspectos a mejorar plantea?
Una cuestión de principios
El Proyecto consta de cuatro títulos, sin incluir el título preliminar, que abarca nuevas definiciones como la elaboración de perfiles y la del Oficial de Datos Personales. Además, se puede resaltar la inclusión de dos nuevos principios de protección de datos personales: el principio de transparencia y el principio de responsabilidad proactiva.
Sobre este punto, cabe señalar que la propia Ley establece que la lista de principios que contiene es meramente enunciativa. La incorporación de dichos principios tiene una clara inspiración del Reglamento General de Protección de Datos Personales europeo (GDPR por las siglas en inglés). Esto nos lleva a preguntarnos por qué sí se optó por incluir algunos de los principios recogidos en el GDPR y no otros. La exposición de motivos no termina siendo clara sobre el criterio utilizado para incorporar ciertos principios en nuestro ordenamiento y no otros.
El ¿nuevo? Oficial de Datos Personales
En lo relativo al Oficial de Datos Personales, es importante resaltar que esta figura no es una novedad en nuestro ordenamiento jurídico, pues ya se encontraba regulada en el Reglamento de la Ley de Gobernanza Digital. Además, para procurar su difusión, la Autoridad Nacional de Protección de Datos Personales ha realizado este año eventos informativos y ha publicado un instructivo dirigido a los Oficiales de Datos Personales. No obstante, es importante resaltar dos puntos respecto del Oficial. Por un lado, según el artículo 38 del Proyecto, uno de los tres supuestos que exige contar con un Oficial de Datos Personales es cuando el tratamiento de datos personales esté a cargo de una autoridad u organismo público. Es recomendable que esta obligación, que implica la gestión de recursos humanos y económicos, se ejecute de forma progresiva. De hecho, en otras normas del sector ya se ha previsto la implementación de plazos progresivos. Este es el caso de los portales de internet de las entidades públicas o la implementación del Expediente Judicial Electrónico en el caso del Poder Judicial.
Por otro lado, respecto a su titularidad, se debe enfatizar en que la persona designada debe tener conocimiento en materia de protección de datos personales. En este sentido, no resulta certero afirmar que el titular o un integrante de la oficina de asesoría jurídica o de la oficina de tecnología maneja esta materia.
No es solo consentimiento
El Título Primero del Proyecto está dedicado al tratamiento de datos personales, donde resalta el Capítulo 1 sobre el consentimiento, el Capítulo 3 sobre transferencia de datos personales (donde se incluye en el artículo 18 el flujo de datos transfronterizo); y el Capítulo 5 que desarrolla los supuestos en los cuales el titular del banco de datos personales o el responsable/encargado del tratamiento debe contar con un Oficial de Datos Personales (artículo 38).
En lo relativo al consentimiento, se puede considerar que se han elevado los estándares para que el consentimiento sobre el tratamiento de datos personales sea entendido como libre. Específicamente, al retirar la permisión explícita de poder entregar beneficios y/o premios a cambio del consentimiento para el tratamiento de datos. Si bien consideramos que en la exposición de motivos del Proyecto la autoridad debió justificar este cambio, en lugar de sólo suprimirlo, creemos que el cambio refuerza los derechos de los titulares de datos personales. Ello tomando en cuenta la coyuntura peruana donde existe un gran porcentaje de analfabetismo digital y asimetría informativa.
El Proyecto también dispone que el consentimiento para el tratamiento de datos personales se otorgue por cada finalidad de tratamiento. Esto es, se estaría buscando un consentimiento “granular” de parte del titular. Ello podría tener como consecuencia una fatiga de consentimiento en los titulares (ya que, al contratar servicios que requieren una gran cantidad de tratamientos específicos de datos con finalidades distintas, resulta demandante el revisar y otorgar consentimiento para cada uno en específico) y podría ser una medida desproporcionada para el funcionamiento de los servicios digitales. En esa línea, habría que explorar otras medidas alternativas que garanticen la necesidad de brindar información a la persona usuaria sobre el tratamiento de sus datos personales y no desalienten el disfrute de un servicio o entorpezcan el acceso a la información sobre el tratamiento de los datos personales.
Derecho a la portabilidad de datos personales
Seguidamente, se encuentra el Título Segundo del Proyecto sobre los derechos del titular de datos personales, donde se incluye el derecho a la portabilidad como parte del derecho de acceso a los datos personales. En el artículo 20 del Reglamento Europeo (GDPR) se contempla también este derecho, según el cual el interesado tiene la facultad de trasladar sus datos personales de un responsable del tratamiento a otro, siempre y cuando estos datos hayan sido obtenidos a través de su consentimiento o por medio de un contrato, en medios automatizados; y siempre que sea técnicamente posible.
Esta disposición no es nueva en otros ordenamientos jurídicos y, de hecho, algunas empresas ya permiten que el usuario ejercite su derecho a la portabilidad. Consideramos bienvenida toda iniciativa que refuerce de forma razonable los poderes de disposición que tiene el titular sobre sus datos personales.
Códigos de Conducta a la medida
El Título Tercero del Proyecto aborda lo relativo al Registro Nacional de Protección de Datos Personales y algunas cuestiones relativas a los Códigos de Conducta. El Proyecto los mantiene con carácter voluntario y, si bien no hay una modificación notable en este punto, consideramos que, atendiendo al principio de proporcionalidad, el Proyecto debió hacer en esta materia una diferenciación clara entre los tipos y tamaños de empresa que tratan datos personales. Una diferenciación de acuerdo, además, con la cantidad, frecuencia, tipo y volumen en el tratamiento de datos personales, a fin de que esta norma sea efectiva. Esto, teniendo en consideración que a la fecha no existe ningún Código de Conducta en el Registro Nacional de Protección de Datos Personales.
Puertos seguros para el flujo de datos personales
El Proyecto dispone que se publicará una lista de países aptos para el flujo transfronterizo de datos personales. Al respecto, consideramos que es acertado que la autoridad incorpore en el Proyecto criterios para evaluar si un país cuenta con un nivel adecuado o no. Sin embargo, es recomendable que, al elevarse el nivel de debida diligencia para los bancos de datos e instituciones que traten datos personales, la ejecución se vea acompañada de otras herramientas para su efectiva implementación.
Resulta además en este punto necesaria una mayor motivación de parte de la Autoridad sobre cómo adecuar a la realidad nacional el modelo seguido de inspiración, que ha sido el modelo europeo de protección de datos personales. Queda la duda de qué pasará con las empresas extranjeras cuyos marcos legales no han sido admitidos por el Tribunal de Justicia de la Unión Europea (TJUE). Antecedentes de esto son las decisiones del TJUE en el Safe Harbor Data Protection (2015) y el Privacy Shield Agreement (2020).
Plazos dispares
Un aspecto a mejorar en el Proyecto de Reglamento es que se modifique una discordancia que existe entre el Reglamento actual y el Nuevo Código Procesal Constitucional (NCPConst). Esto es, por un lado, el NCPConst establece un plazo de diez días hábiles para que el titular de datos personales o el responsable del tratamiento conteste la solicitud de acceso a los datos personales. En contraste, por su lado, el Reglamento establece el plazo de veinte días hábiles para que una persona acceda a sus datos personales. Así, mientras que de acuerdo al Reglamento el titular o responsable tiene permitido cumplir con proporcionar los datos hasta el día 20, para el día 11 el legislador a través del NCPConst considera que ya existe un incumplimiento en el deber de responder a la solicitud de acceso.
Bonus: nueva plataforma de atención
Finalmente, resaltamos que, en las Disposiciones Complementarias Finales y Transitorias se dispone la creación de la plataforma “Yo cuido mis datos personales”. Una nueva vía alternativa, para reclamos y denuncias, donde la ciudadanía pueda ponerse en contacto con la Autoridad Nacional de Protección de Datos Personales ante la vulneración de sus derechos ARCO o ante actos contrarios a la normativa.
Reflexiones sobre las modificaciones
Como vemos, si bien en general el Proyecto se muestra como una norma garantista del derecho a la protección de datos personales, todavía es necesario realizar algunos ajustes referidos a la implementación progresiva, a evitar la exportación de normas sin el análisis coyuntural, a evitar las contradicciones entre normas sectoriales, y a diferenciar la ejecución de acciones según los tamaños y tipos de empresas. Asimismo, la autoridad debe ser cuidadosa al introducir este conjunto de modificaciones por vía reglamentaria, ya que un exceso en esta potestad, que desconozca lo establecido en la ley, podría afectar el principio de seguridad jurídica.
Esperemos en lo próximo que se formen mesas de trabajo en las que se fomente la participación de las múltiples partes interesadas: gobierno, sector privado, sociedad civil, academia, entre otros. Asimismo, sería recomendable que tal como sucedió en el 2012 con el Reglamento actual, se publique una nueva versión del Proyecto de Reglamento con una matriz de respuesta a los comentarios realizados sobre el Proyecto.