Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
El martes 14 de abril el Presidente Martín Vizcarra anunció la creación del Grupo de Trabajo “Te Cuido Perú”, que entre otras estrategias contará con una plataforma digital que permitirá la geolocalización de las personas diagnosticadas con Covid-19 y su entorno directo. Tres días después, se publicó el Decreto Supremo que desarrolla y especifica cómo funcionará esta estrategia.
Las declaraciones del Presidente Martín Vizcarra en su conferencia de prensa se plasmaron en el Decreto Supremo 068-2020-PCM, publicado el mismo 14 de abril. Este Decreto modifica el artículo 3 que prorroga el Estado de Emergencia incorporando el numeral 3.10 que enuncia:
El Poder Ejecutivo constituye un Grupo de Trabajo denominado “Te Cuido Perú”, de carácter multisectorial, liderado por el Ministerio de Defensa, que tiene por objeto brindar vigilancia y asistencia a las personas afectadas con el Covid-19 (…) y a las personas que habitan con ellas en sus domicilios durante la fase de aislamiento social obligatorio. En tal sentido, para el adecuado desarrollo de sus funciones, el grupo de trabajo contará con una plataforma digital encargada de la geolocalización de las personas y su entorno directo, así como los demás instrumentos o estructuras funcionales que le permitan el seguimiento clínico, vigilancia, monitoreo, entre otras medidas que coadyuven al cumplimiento del objeto de dicho grupo de trabajo. (resaltado nuestro)
Esta norma, como podemos apreciar, habilita a que el Grupo de Trabajo “Te Cuido Perú” pueda realizar vigilancia y monitoreo de los pacientes y sus entornos empleando la geolocalización. No obstante, el Decreto Supremo no especificó de qué se trata este monitoreo, cuál es el tipo de geolocalización a la que se refiere o qué tecnología implementará la plataforma digital.
Director Ejecutivo
Abogado por la Pontificia Universidad Católica del Perú.
Estamos en Estado de Emergencia pero eso no significa que todos nuestros derechos fundamentales estén restringidos. El mandato de protección de los datos personales se mantiene vigente, por lo que toda estrategia orientada a combatir la pandemia del nuevo Coronavirus debe ser respetuosa de este derecho. Hoy, más que nunca, resultan imperativos los procedimientos de anonimización o disociación, así como la elaboración de mapas de contagios que no pongan en peligro a las personas diagnosticadas con esta enfermedad.
En el Estado de Emergencia Nacional en el que actualmente nos encontramos se restringieron los derechos fundamentales relativos a la libertad y la seguridad personales, la inviolabilidad del domicilio, la libertad de reunión y de tránsito en el territorio y la garantía de no de detención sin orden judicial previa. Nuestra Constitución no habilita a que en Estado de Emergencia se restrinja el derecho fundamental a la protección de datos personales (artículo 2 inciso 6), por lo que este y sus contenidos desarrollados a través de la Ley N° 29733 se encuentran plenamente vigentes.
Este derecho fundamental garantiza que todas las personas puedan decidir con quién comparten y cómo se usa la información que los identifica o hace identificables. Es decir, que nuestros datos personales sean tratados conforme a ley; con nuestro consentimiento; que sean recopilados de acuerdo a la finalidad determinada, explícita y lícita; que el uso que se le dé a estos datos sea conforme a esta finalidad; y, que sean tratados conforme a estándares de calidad que garanticen su seguridad y un nivel de protección adecuado.
Un dato personal, tal como lo indica la Ley de Protección de Datos Personales, es toda información que identifique o haga identificable a una persona. Así, un dato personal sería, por ejemplo, el nombre, el número de Documento de Identidad, la imagen del rostro de una persona, etcétera. Ello porque estos datos identifican a una persona.
Sin embargo, también tenemos que tomar en cuenta que hay cierta información que si bien no nos identifica de manera directa, nos puede identificar “de manera indirecta”. Por ejemplo, nuestro número de celular: por sí mismo no nos identifica; no obstante, juntando dicha información (número de celular) con otra (registros en empresas de telecomunicaciones) se nos podría identificar. A ello es lo que hace referencia la ley cuando enuncia que dato personal es toda información que haga identificable a una persona.
Dentro de lo que son nuestros datos personales, existe una categoría de estos que goza de especial protección: los llamados datos sensibles. Estos son datos personales cuya protección es de suma importancia debido a su calidad o debido a la información que revelan sobre una persona: datos referidos al origen étnico, ingresos económicos, opiniones o convicciones políticas, filiación sindical, a la salud o a la vida sexual. Estos datos sensibles son objeto de una especial protección. Así, por ejemplo, el consentimiento para su tratamiento debe constar por escrito según la ley peruana.
Director Ejecutivo
Abogado por la Pontificia Universidad Católica del Perú.
Las recientes elecciones congresales en Perú han sido distintas en muchos sentidos. Entre otras razones, porque se han aplicado por primera vez las normas que prohíben que los partidos y candidatos se anuncien en radio y televisión mediante avisos pagados. Eso ha significado que el esfuerzo y gasto en publicidad electoral se concentre en medios alternativos, desde volantes impresos hasta páginas web y redes sociales. Aunque estas medidas buscaban “equilibrar” la presencia de los candidatos en medios a través de la publicidad, se ha reflexionado poco sobre cómo funciona la publicidad política en línea y sus desequilibrios. De cara a la siguiente campaña electoral del 2021, hay varias cosas pasando en este espacio que merecen especial atención.
Alrededor del mundo, el uso de redes sociales para fines políticos viene siendo objeto de evaluación y cambio. Por ejemplo, hace poco Twitter prohibió que se use su plataforma de publicidad para contenido político. Por su parte, aunque Facebook sí permite este tipo de contenido publicitario en sus plataformas, en muchos países obliga a los anunciantes a cumplir con reglas especiales. Así, por ejemplo, un anuncio político en Estados Unidos o Brasil obligatoriamente mostrará el monto gastado, el alcance demográfico del mensaje o la identidad de la persona natural o jurídica que lo paga. Además, dicha información quedará archivada por varios años en la Biblioteca de Anuncios de Facebook. De la misma manera, Google también permite la publicación de anuncios políticos bajo ciertas reglas (ej. prohibido el remarketing o segmentar por cercanía) e igualmente publica información detallada sobre el gasto en publicidad que hacen candidatos políticos en Estados Unidos, India y la Unión Europea.
En Perú, no existen reglas que obliguen a los candidatos a ser transparentes con el gasto y la pauta publicitaria que colocan en Internet, solo reglas generales de reportar todos sus gastos en campaña. Cuando la publicidad política estaba permitida en televisión y radio, las empresas de radiodifusión eran obligadas a presentar reportes a la autoridad electoral sobre sus ingresos por contenido político. No obstante, pese a la ausencia de obligatoriedad, empresas como Facebook han puesto a disposición de candidatos en todo el mundo herramientas de transparencia voluntarias muy detalladas que les permiten comunicar claramente el contenido, audiencia, origen y gasto en publicidad en línea y están disponibles en Perú.
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
En septiembre participamos de la consulta pública organizada por la Dirección General de Protección de Datos Personales (DGPDP) sobre su Proyecto de “Directiva para el Tratamiento de Datos Personales mediante Sistemas de Videovigilancia”. Este esfuerzo busca señalar los límites que deben imponerse a estas tecnologías para que su uso no afecte la privacidad más allá de lo estrictamente necesario para garantizar la seguridad pública.
A finales de agosto del 2019, se hizo pública la DGPDP publicó un borrador sobre una nueva normativa para el tratamiento de datos cuando se utilizaran cámaras de videovigilancia. En un ejercicio de transparencia destacable, la DGPDP abrió un período de recepción de comentarios para todos los interesados que culminó en setiembre.
Algunos de los aspectos principales del borrador de la Directiva eran que: (a) regulaba en qué situaciones estaba permitido tratar datos personales a través de la grabación de cámaras de videovigilancia, (b) establecía una serie de principios que debían ser respetados a la hora de realizar el tratamiento de los datos, y, (c) señalaba algunas obligaciones específicas respecto del tipo de cámaras como el plazo de almacenamiento, los protocolos de seguridad, etc.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Gracias a una investigación de Ernesto Cabral para Ojo Público, este mes conocimos más sobre el negocio de venta de datos de sus usuarios que Telefónica viene desarrollando en Perú y otros países de la región. Siguiendo la pista de las grandes compras públicas, Ojo Público encontró varios contratos suscritos por Telefónica con PromPerú y la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao por más de US$ 1 millón de dólares americanos y no precisamente por servicios de telefonía o Internet.
El servicio que Telefónica brinda, a través de su unidad de inteligencia datos llamada LUCA, es la información sobre circulación de personas en Perú en base a cómo se desplazan sus usuarios de telefonía móvil. Así, por ejemplo, Telefónica puede decirle a PromPerú cuántas personas de Independencia visitan Huancayo o Huaraz al mes o señalar a la empresa de publicidad exterior Clear Channel la cantidad de mujeres de nivel socioeconómico B o C que transitan por determinada esquina.
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Estamos acostumbrados a escuchar que los datos son el nuevo petróleo de la economía global. Con frecuencia, nos enteramos que empresas nacionales y extranjeras usan técnicas de procesamiento masivo de datos (conocido como big data) en sus procesos de inteligencia artificial o para crear modelos predictivos que se anticipen a las necesidades de sus mercados. Esta “revolución” comercial se nos presenta al mismo tiempo como irreversible e impostergable en diversos sectores, desde supermercados hasta bancos o empresas de recursos humanos. No obstante, se habla menos sobre de dónde vienen estos datos o qué principios legales y éticos controlan su uso.
La inmensa cantidad y variedad de datos que hoy explotan empresas y gobiernos, en muchos casos, han sido extraídos de nosotros mismos. Pensemos solo en los datos vinculados o que podrían vincularse a nuestra identidad que generamos en nuestra vida diaria: al comprar en muchos establecimientos comerciales, al pedir una boleta electrónica en un restaurante, al usar un medio de transporte masivo con tarjetas inteligentes como el Tren Eléctrico o simplemente por llevar un teléfono celular en el bolsillo. Diariamente, dejamos un rastro de datos constante que, vistos individualmente, pueden parecer triviales pero agregados pueden revelar nuestros hábitos, preferencias, relaciones sociales, nivel socioeconómico y hasta nuestro estado sentimental. Se puede aprender a hablar en claves, se puede usar un disfraz o ser puede ser discreto, pero la data que dejamos diariamente no miente sobre quiénes somos ni lo que hacemos.
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La lista de equipos móviles y la identidad de sus titulares de todo el país está en poder del Estado y la Policía Nacional puede acceder a ella sin contar con una orden judicial que lo permita.
El acceso a registros o listas creadas por mandato legal por parte de entidades del Estado es una práctica común en muchos países. Como política pública, esta es una herramienta que sirve con diferentes propósitos. Por ejemplo: fiscalizar una actividad regulada, asegurar el funcionamiento de un servicio, ofrecer seguridad jurídica para las transacciones, etc. En algunos casos, también sirven con el propósito de prevenir y perseguir los delitos, como es el caso de los registros relacionados a las comunicaciones.
En el Perú existen diferentes leyes y disposiciones reglamentarias que aprueban registros y listas de todo tipo, incluyendo también los registros de las comunicaciones. Una de estas listas es el RENTESEG, un registro nacional de celulares asociados a los datos personales de sus titulares. Además de permitir el bloqueo en caso de robo o pérdida, este registro virtualmente puede permitir el acceso a esta información a la Policía aun sin contar con las garantías de un mandato judicial.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Todos los equipos móviles que van a ser utilizados en el país tienen que estar registrados junto con los datos de sus dueños en una lista controlada por el Estado o serán bloqueados
La creación de registros o listas suelen servir al propósito de dar seguimiento a diferentes elementos: actividades, comportamientos, transacciones, etc. Desde el punto de vista de las políticas públicas, son una herramienta ampliamente utilizada en muchos campos (el comercio, la seguridad, la identificación) para ejercer control sobre estos elementos con el fin de fomentarlos, restringirlos o prohibirlos. Así mismo, la forma en que se almacenan y operan estos registros o listas puede recaer tanto en entidades públicas como privadas y ser de acceso público o restringido.
En Perú existen diferentes leyes y disposiciones reglamentarias que aprueban registros y listas de todo tipo, desde los registros públicos de propiedad hasta las listas de beneficiarios de programas sociales. Si bien existe un legítimo interés en que algunos de estos registros estén disponibles y sean públicos, también hay otros cuya existencia compromete seriamente la privacidad. Entre estos últimos destacan especialmente los registros de objetos de uso cotidiano, como los teléfonos móviles, que se implementan con varios fines, entre ellos la seguridad ciudadana.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Las compañías que ofrecen servicios de telecomunicaciones deben almacenar los metadatos durante tres (3) años
El almacenamiento datos derivados de las telecomunicaciones o “metadatos” es un elemento constituyente de las políticas públicas de recolección de datos derivados de las comunicaciones. Estas normas se implementan con el fin de emplear la información almacenada para facilitar la investigación de los delitos, aunque también se pueden emplear para la ubicación de personas desaparecidas, el seguimiento de actividades posiblemente delictivas, la represión de activistas y líderes de movimientos sociales, entre otros.
En Perú existen diferentes leyes y reglamentos que hacen obligatorio el almacenamiento de datos y metadatos derivados de las comunicaciones, lo que incluye: el contenido mismo de las comunicaciones, su origen geográfico, frecuencia, los datos de navegación, etc. Por regla general, cuando se necesitan durante la investigación de un delito, esta información solo es accesible para la Policía Nacional del Perú y/o el Ministerio Público luego de haber obtenido un mandato judicial. Sin embargo, también existen normas que permiten un acceso excepcional sin mandato judicial.
Las políticas públicas relacionadas al almacenamiento de datos derivados de las comunicaciones se caracterizan por ser particularmente intrusivas para la privacidad, pues son generales y aplican a todos los usuarios de estos servicios, no solo a los que las autoridades se encuentren investigando. Dependiendo de la regulación de cada país, dicho almacenamiento puede ser amplio o restringido, pero casi siempre se le encarga su ejecución a las empresas de telecomunicaciones que suelen ser entidades privadas. En todos los casos, se señala que estas políticas son necesarias para mejorar la seguridad ciudadana, específicamente respecto de la investigación de delitos.
En el Perú, hasta la fecha de publicación del Decreto Legislativo N° 1182 en 2015 durante el gobierno del presidente Ollanta Humala, no existían normas que hacían obligatoria la recolección de datos y metadatos de las comunicaciones con fines de investigación criminal. Sin embargo, previamente, sí existían obligaciones de conservación con motivos de aseguramiento de calidad del servicio y rendición de cuentas frente a los usuarios. No obstante, desde la entrada en vigencia de este Decreto Legislativo se amplió la obligación de conservación a otros elementos más allá del detalle de llamadas, como tráfico de navegación o datos del origen geográfico de la llamadas. El protocolo bajo el cual se realizan las tareas de recolección actualmente no son públicos, por lo que no se conoce bajo qué estándares se almacena la información y cómo se mantiene segura frente a posibles intrusiones de terceros, dado que algunos de estos datos son particularmente sensibles.
El almacenamiento masivo y obligatorio de metadatos representa diferentes problemas para la privacidad. El más grave es que la recolección se realiza no en base a requerimientos individuales sino que se aplica al universo total de usuarios de los servicios intervenidos. Eso significa que todos los ciudadanos, sin excepción alguna, están sujetos a este mecanismo de vigilancia y control. El derecho internacional de los derechos humanos ha señalado que el mero hecho de sentirse observado ya es una afectación a la privacidad.
Así mismo, la implementación de estas medidas suponen también costos adicionales a las empresas, los cuales suelen trasladarse a los usuarios. En el Perú, algunos de los problemas asociados a esta política pública son:
Efectivamente, el almacenamiento de datos y metadatos existe en diferentes partes del mundo, siendo empleadas con fines de seguridad nacional y para la persecución de delitos, especialmente aquellos considerados graves como el terrorismo, la pornografía infantil, etc. En ese sentido, queremos comparar el caso del Perú con el de otros países. Para ello vamos a tomar dos ejemplos:
En 2006, la Unión Europea adoptó una directiva de retención de datos, que habilitaba a los países miembros a crear regulación que permitiera retener diferentes tipos de metadatos como la ubicación, el origen, los dispositivos empleados, el tráfico IP, entre otros, de las comunicaciones por un plazo de entre 6 meses y 2 años. El objetivo era crear un marco legal común que permitiera la investigación y persecución de delitos considerados graves. Sin embargo, pese a su implementación en diferentes países, en el año 2014, la Corte Superior de Justicia de la Unión Europea declaró inválida dicha directiva pues consideró que esta violaba los derechos humanos de los ciudadanos europeos.
Del otro se encuentra Rusia, que en 2016 implementó una norma que permite la retención de datos y metadatos, que incluyen también el contenido mismo de las comunicaciones, los cuales se almacenan por un período de 6 meses hasta 3 años. Así mismo, dicha ley creaba la obligación de ciertas empresas que ofrecían comunicaciones con cifrado punto a punto como WhatsApp, a instalar puertas traseras y ofrecer acceso privilegiados para acceder al contenido de las informaciones. Pese a la oposición de cierto sector de la sociedad civil, el gobierno mantiene vigentes estas normas como parte de su estrategia contra el terrorismo.
Esta entrada es parte de nuestra serie especial Privacidad es seguridad gracias al apoyo de Privacy International.
Foto: Justin Bautista para Unsplash
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
