El domingo 4 de agosto se aprobó el Decreto Legislativo N°1623, el cual modifica la Ley de Impuesto General a las Ventas (IGV) e Impuesto Selectivo al Consumo, con la finalidad de extender la aplicación del 18% a los servicios digitales e importación de bienes intangibles a través de internet. De acuerdo con este Decreto, los agentes de retención o percepción; es decir los sujetos no domiciliados en el Perú, empezarán a efectuar la retención o percepción del IGV a partir del 1 de octubre de 2024.
Esta medida afectaría a cientos de servicios digitales (de streaming, aplicaciones de taxis, plataformas de cursos, aplicaciones de citas, plataformas de almacenamiento de archivos, y más), así como algunas funciones de pago para bienes intangibles (por ejemplo funciones de Zoom premium, funciones de Whatsapp empresas, Facebook Ads, entre otros).
A días de su publicación, existen diversas críticas sobre la norma, que abarcan desde cuestionamientos sobre el fondo (la falta de claridad de algunos términos, de las obligaciones y los sujetos obligados, y la desproporcionalidad de la medida), cuestionamientos sobre su ejecución (impacto sobre los datos personales, nuevas cargas económicas y administrativas, impacto en la economía digital), e inclusive sobre su proceso de formulación (ausencia de participación multisectorial). A continuación abordaremos algunas de las principales críticas.Leer más
A partir del 22 de julio de este año, OSIPTEL comenzará a bloquear los equipos terminales móviles que, habiéndose adquirido con posterioridad al 22 de abril de este año, no se encuentren registrados. Esta medida de registro obligatorio bajo sanción de bloqueo se enmarca en la tercera etapa de ejecución del Registro Nacional de Equipos Terminales Móviles para la Seguridad (RENTESEG), creado el 2017 a iniciativa del Ejecutivo y reglamentado por el Ministerio del Interior.
El objetivo del RENTESEG es desincentivar y combatir la comercialización de celulares robados o de dudosa procedencia en el mercado peruano. Para lo cual, se propone identificar a los celulares a través de su IMEI (el DNI universal de todo celular, que consiste en una serie de 15 dígitos que vienen determinados de fábrica). A continuación explicaremos porque esta medida está destinada al fracaso y no permite alcanzar el objetivo de reducir el robo de celulares, sino que, por el contrario, crea una serie de problemas adicionales.Leer más
El pasado 15 de abril sesionó la Mesa de Trabajo sobre el derecho al olvido en la sede del Parlamento Andino, en la cual se expuso y discutió un borrador del Proyecto de Marco Normativo sobre el Derecho al Olvido Digital.
Desde Hiperderecho, Dilmar Villena, nuestro Director Ejecutivo, participó en la mesa de diálogo. Asimismo, a solicitud del Parlamento Andino, enviamos el viernes 19 de abril nuestros comentarios sobre el Proyecto. A raíz del citado evento y atendiendo a las reflexiones vertidas, a continuación enunciamos algunas recomendaciones a tener en cuenta al momento de regular el derecho al olvido.
Definir el derecho al olvido
Los proyectos que se han planteado sobre derecho al olvido en el Perú, como el citado Proyecto del Parlamento Andino o el Proyecto de Ley 4708-2022/CR, tienen como base el Expediente 03041-2021-PHD (Miguel Arévalo Ramírez vs. Google y otros). En este, el Tribunal Constitucional define principalmente el derecho al olvido como aquel que garantiza la eliminación, supresión o retiro de información relacionada con datos personales que es posible hallar usando motores de búsqueda o sistemas informáticos. Leer más
El pasado 1, 2 y 3 de abril se llevó a cabo en Lima un nuevo encuentro de los grupos de trabajo de la Red Iberoamericana de Protección de Datos Personales (RIPD), con el objetivo de promover una agenda de trabajo conjunta, así como una convergencia regulatoria en la región iberoamericana, en favor de la protección de datos personales.
¿Qué es la Red Iberoamericana de Protección de Datos Personales?
La RIPD surge en junio de 2003 como un foro de diálogo para integrantes del sector privado y público, compuesto por entidades estatales de protección de datos personales y organizaciones internacionales, El objetivo de la Red es, por un lado, convertirse en un espacio de debate regional permanente, de encuentro anual. Y, por otro lado, promover desarrollos normativos necesarios para garantizar una regulación avanzada del derecho fundamental a la protección de datos personales.Leer más
La Conferencia Mundial sobre Apatridia: ¿por qué fuimos parte?
La semana pasada, en Kuala Lumpur, Malasia, tuvo lugar la Conferencia Mundial sobre Apatridia 2024 (World Conference on Statelessness), el evento más grande del mundo en abarcar este tema y congregar a múltiples partes interesadas. Para organizaciones como Hiperderecho, que trabajamos sostenidamente en el ejercicio de derechos humanos en entornos digitales, hablar de apatridia puede resultar nuevo: sin embargo, no es un asunto lejano ni a los derechos humanos en general ni a la identidad digital en particular.Leer más
En julio de 2021, Osiptel aprobó la Norma Técnica relativa a la implementación del sistema de medición automatizado para verificación del servicio de acceso a internet por parte de Osiptel —la cual fue modificada en junio de 2023—. En ella, Osiptel detalla los aspectos técnicos que las empresas operadoras que prestan el servicio de acceso a Internet deben implementar para que Osiptel pueda desplegar un sistema automatizado que mida la calidad del servicio de Internet fijo y móvil que dichas empresas brindan. Entre otros, el sistema mide indicadores de calidad y pretende verificar el cumplimiento de la velocidad mínima garantizada (VMG) que, con la promulgación de la Ley 31207, es el 70% de la velocidad ofrecida en los planes contratados.
La Municipalidad, además, afirmó que, a pesar de estar instaladas, no utiliza sus cámaras con reconocimiento facial
En 2019 se dio a conocer, a través de distintos medios de comunicación, la inauguración de una central de monitoreo y control en el emporio comercial de Gamarra. Según las notas públicas al respecto, se instalarían 41 cámaras —equipadas con tecnologías de reconocimiento facial— en el distrito de La Victoria.
Las cámaras de la Municipalidad y sus protocolos
Teniendo en cuenta lo riesgoso que es implementar cámaras de reconocimiento facial y su impacto negativo en los derechos humanos (amplificando situaciones de discriminación), junto con Access Now, presentamos una solicitud de acceso a la información pública a La Municipalidad. En esta, solicitamos, entre otros, que se nos indique:
La cantidad de cámaras de videovigilancia con las que cuenta la Municipalidad y, entre ellas, cuántas son de reconocimiento facial.
Especificaciones técnicas.
Estudios técnicos que sustenten la adquisición de dichas cámaras.
Protocolos para la supervisión y rendición de cuentas en torno a su uso y desempeño.
Protocolos, directivas y/o similares relativos al acceso, uso, procesamiento y tratamiento de los datos personales obtenidos a partir de dichas cámaras.
Protocolos de seguridad y confidencialidad existentes en torno al uso de las cámaras de videovigilancia y de reconocimiento facial.
La Municipalidad, luego de una Resolución del Tribunal de Transparencia y Acceso a la Información Pública, respondió a nuestra solicitud. Nos indicó que, en ese momento, contaban con 184 cámaras de videovigilancia, de las cuales 9 eran de reconocimiento facial. Con respecto a la información referida a los protocolos, directivas, estudios técnicos y similares, la Municipalidad respondió que no contaban con documentación física elaborada para atender dichas solicitudes. Es decir, no contaban con lo que requiere la Ley de Protección de Datos Personales para tratar tanto los datos recogidos a través de las cámaras de vigilancia como los datos personales biométricos (datos sensibles).
Con esta información, presentamos una denuncia ante la Autoridad de Protección de Datos Personales para que evalúe si la carencia de dicha documentación implica una infracción a la normativa peruana sobre la materia.
Tecnosolucionismo e incumplimientos a la Ley
La Autoridad Nacional de Protección de Datos Personales, luego de una fiscalización, decidió iniciar un procedimiento administrativo sancionador contra la Municipalidad de La Victoria. En el procedimiento se pudo constatar que el software de reconocimiento facial con el que cuentan las 09 cámaras es “Anyvision -1.24.02”. Estas cámaras se utilizarían, supuestamente, para identificar rostros de personas requeridas por la justicia y emitir las alertas respectivas a la Policía Nacional del Perú.
No obstante, la propia entidad afirmó que, pese a estar instaladas, no se les ha dado uso, ya que no cuentan con los convenios respectivos con la Policía Nacional del Perú. Es decir, las autoridades competentes anunciaron públicamente su instalación pero no tenían capacidad —afortunadamente— para utilizarlas.
Y es que en este punto nos encontramos ante una problemática muy recurrente en la región: el creer que la tecnología, únicamente por sí misma, va a solucionar los problemas de nuestra sociedad. En este caso, esta narrativa sugiere que una cámara con reconocimiento facial ayudaría a combatir efectivamente la delincuencia. Sin embargo, ello no toma en cuenta el impacto en derechos humanos que dicha política pública podría generar.
Solicitamos a la Municipalidad los informes, guías, reuniones o cualquier otra documentación que sustente la adquisición de este tipo de cámaras. Asimismo, se solicitó información sobre si la entidad había realizado alguna evaluación de impacto en derechos humanos de dicha tecnología y/o si había realizado pruebas sobre su uso. Esto es importante ya que softwares desarrollados y probados en otros países —principalmente en población blanca— han demostrado generar graves tasas de error y problemas de discriminación hacia comunidades no-blancas.
Llegados a este punto, nos preguntamos si la Municipalidad ha valorado estos graves riesgos y, tomándolos en cuenta, ha decidido ejecutar dicha política pública o si, simplemente, tomó una vía tecnosolucionista sin mayor análisis.
Respecto del caso, en la medida que —por fortuna— las cámaras de reconocimiento facial nunca se utilizaron, la Autoridad concluyó que no se realizó tratamiento de datos personales (datos sensibles), por lo que no entraría a analizar supuestas infracciones en este ámbito.
No obstante, en lo relativo a las cámaras de videovigilancia (las clásicas), la Autoridad decidió evaluar:
Si la administrada es responsable no haber implementado las medidas de seguridad para el tratamiento de datos personales que realiza mediante las cámaras de video vigilancia, al no contar con los procedimientos de gestión de accesos, gestión de privilegios y verificación periódica de privilegios asignados; según lo previsto en el numeral 1 del artículo 39 del Reglamento de la LPDP; obligación establecida en el numeral 1 del artículo 39° del Reglamento de la LPDP.
De acuerdo al artículo 39.1 del Reglamento de la Ley de Protección de Datos Personales, toda entidad pública que posea una cámaras de videovigilancia, en lo que respecta a medidas de seguridad, debe incluir en su funcionamiento:
(i) El control de acceso a la información de datos personales, incluyendo:
La gestión de accesos desde el registro de un usuario
La gestión de los privilegios de dicho usuario
La identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros
(ii) La realización de una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad
Estos controles, además, de acuerdo con la Dirección de Protección de Datos Personales1, deben estar “previstos en un documento que sea debidamente difundido entre las personas de la organización que tengan contacto con los sistemas empleados en el tratamiento automatizado de datos personales”.
Respecto de los incumplimientos de la Municipalidad, la entidad encontró que estos son2:
No contar con documentos relacionados a los procedimientos formales de definición y/o aprobación de los perfiles de los usuarios correspondientes a las plataformas y/o sistemas a través de las cuales realiza el tratamiento de las imágenes de personas registradas a través de su red de cámaras, lo que implica carecer de una gestión de privilegios documentada.
No contar con información sobre la modalidad del establecimiento o realización de una verificación o revisión periódica a los perfiles de usuarios de las plataformas o sistemas a través de los cuales efectúan el tratamiento de datos personales.
Con base en esos incumplimientos, la Dirección de Protección de Datos Personales determinó sancionar a la Municipalidad de La Victoria con una multa de 1,84 UIT.
Este caso nos debe llevar a reflexionar sobre dos ámbitos importantes: el primero, sobre cómo las Municipalidades y distintas entidades plantean medidas tecnológicas para solucionar problemas públicos sin realizar una verdadera medición de la afectación a los derechos humanos (especialmente de poblaciones históricamente marginadas); y, el segundo, sobre si todas las entidades que cuentan con cámaras de vigilancia cumplen con los estándares de seguridad mínimos exigidos por la normativa sobre datos personales. Ahora que nos acercamos a elecciones municipales, es buen momento para analizar críticamente los discursos que potencian la hipervigilancia sin un mayor análisis o estudio previo y exigir rendición de cuentas sobre su uso.
El pasado 21 de octubre se celebró el Día Global del Encriptado #globalencryptionday
Diversos Grupos de Sociedad Civil y Tecnológicos alrededor del mundo se han unido para promover la encriptación fuerte en el primer Día Global del Encriptado organizado por la colectiva Global Encryption Coalition.
Miembros de esta colectiva incluyen Cloudflare, Mozilla, Internet Freedom Foundation, diversos proveedores de VPN, entre otros. Su principal objetivo es enviar un mensaje a los gobiernos para mejorar las medidas de seguridad de protección y privacidad de datos y mostrar el porqué de su importancia, además en promover que desistan en debilitar la encriptación y brindar acceso a las fuerzas del orden a información y datos privados en plataformas con encriptado.
Antes de continuar ¿a qué nos referimos cuando hablamos de encriptación? Te contamos más:
La encriptación, o algunas veces llamado cifrado, es el proceso por el cual los datos son codificados mediante un algoritmo convirtiéndolos ilegibles a elementos externos. Por ejemplo, podríamos encriptar una carpeta en nuestra computadora protegiéndola con una contraseña y únicamente las personas con esta contraseña podrán acceder a su contenido. Es así que el cifrado es el mejor aliado en la protección de nuestra privacidad frente a diferentes tipos de actores como gobiernos, proveedores de servicios, empresas, etc. Leer más
Las Elecciones Generales 2021 vienen desenvolviéndose en un escenario bastante particular. Por un lado, desde el año pasado se aprobó la reforma legislativa al financiamiento de partidos políticos (Ley 31046), de modo que las organizaciones políticas tienen prohibido contratar propaganda electoral en radio o televisión. De hecho, estas son las primeras elecciones presidenciales (y las segundas elecciones de carácter nacional) en las que se aplica dicha disposición. Con motivo de esta reforma, la difusión de propaganda electoral por canales radiales o televisivos se ha sostenido únicamente con financiamiento público indirecto: para ello, todos los partidos políticos en carrera han recibido una adjudicación económica para contratar propaganda electoral en los medios registrados ante la ONPE.
Por otro lado, el contexto de emergencia sanitaria también ha delimitado la manera en que los partidos han diseñado sus estrategias de campaña. Con las restricciones de movilidad y la prohibición de aglomeraciones, la publicidad en redes sociales ha despertado un gran interés en las organizaciones políticas. Además, este tipo de publicidad tienen un gran potencial por la posibilidad de delimitar el público objetivo y realizar propaganda política segmentada.
En Hiperderecho hemos advertido que este protagonismo de las redes sociales, tomando en cuenta las condiciones descritas, puede facilitar que los partidos políticos recojan datos personales de potenciales votantes a nivel nacional o que utilicen los datos que ya tienen para realizar microsegmentación de contenidos. Con motivo de ello, en nuestro reciente informe Datos personales y elecciones, llamamos la atención sobre la necesidad de que las organizaciones políticas cumplan con las obligaciones señaladas en la Ley de Protección de Datos Personales (LPDP), dado que tienen acceso al Padrón Electoral y, además, manejan sus propias bases de datos.
Esta conclusión ha sido reafirmada por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales en abril de este año. Mediante la Opinión Consultiva 014-2021-JUS/DGTAIPD, nuestra Autoridad Nacional de Protección de Datos Personales ha señalado que los partidos políticos que realizan tratamiento de datos personales se encuentran sujetos al ámbito de aplicación de la Ley de Protección de Datos Personales y su Reglamento, por lo que deben cumplir con todas las disposiciones y obligaciones que derivan de tales normas.
Hemos hablado de cómo las tecnologías de los últimos 10 años han contribuido con el entorno de identidad digital en el Perú, pero es imposible ignorar la evolución de la tecnología en el campo de los teléfonos inteligentes (smartphones). Actualmente los smartphones tienen tanta capacidad de procesamiento como una computadora personal. Esto ha permitido que tecnologías como reconocimiento facial o de huellas dactilares sean posibles y se muestran como alternativas al DNIe en entornos digitales para la autenticación. Esto es posible también porque RENIEC guarda en su base de datos fotografías de nuestro rostro y nuestras huellas dactilares que pueden pasar por un proceso para clasificar nuestras características biométricas.
Entonces sería posible desarrollar una aplicación móvil capaz de reconocer algún patrón como nuestro rostro o nuestra huella dactilar, identificar sus parámetros biométricos, compararla con la existente en la base de datos del RENIEC y darnos acceso a diferentes servicios que tengan disponible. Como resultado, RENIEC ha desarrollado diversas herramientas móviles (apps) que permiten acceder a servicios muy parecidos a los que ofrece el Portal del Ciudadano.
