Autor: Carlos Guerrero

Director de Políticas Públicas

Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.

Cámaras de vigilancia en Perú, una mirada desde la privacidad

En septiembre participamos de la consulta pública organizada por la Dirección General de Protección de Datos Personales (DGPDP) sobre su Proyecto de “Directiva para el Tratamiento de Datos Personales mediante Sistemas de Videovigilancia”. Este esfuerzo busca señalar los límites que deben imponerse a estas tecnologías para que su uso no afecte la privacidad más allá de lo estrictamente necesario para garantizar la seguridad pública.

Sobre la propuesta de Directiva

A finales de agosto del 2019, se hizo pública la DGPDP publicó un borrador sobre una nueva normativa para el tratamiento de datos cuando se utilizaran cámaras de videovigilancia. En un ejercicio de transparencia destacable, la DGPDP abrió un período de recepción de comentarios para todos los interesados que culminó en setiembre.

Algunos de los aspectos principales del borrador de la Directiva eran que: (a) regulaba en qué situaciones estaba permitido tratar datos personales a través de la grabación de cámaras de videovigilancia, (b) establecía una serie de principios que debían ser respetados a la hora de realizar el tratamiento de los datos, y, (c) señalaba algunas obligaciones específicas respecto del tipo de cámaras como el plazo de almacenamiento, los protocolos de seguridad, etc.

Leer más

Analizamos la primera condena efectiva por acoso sexual en línea en el Perú

A mediados de octubre, el programa Cuarto Poder dio a conocer la primera condena con prisión efectiva en el Perú por el delito de acoso sexual a través de Internet. Consideramos positivo que, a partir de la promulgación del Decreto Legislativo N° 1410 a finales de 2018, y gracias a los esfuerzos de la sociedad civil y el activismo feminista, la violencia que se ejerce a través de medios digitales deje de quedar impune y se proteja a las víctimas ante estas situaciones.1 Sin embargo, como en muchos otros casos de violencia de género en línea, creemos que todavía hay un largo camino por recorrer en la búsqueda de justicia. Con el fin de ofrecer un panorama más claro sobre este caso (y lo que podríamos ver en el futuro), hemos elaborado un análisis desde una perspectiva legal y social.  Esta es la primera parte de este análisis y nos enfocamos en lo legal.

El caso

La sentencia, que ha sido publicada en el sitio web del Poder Judicial, expone los siguientes hechos. Desde julio de 2018, Alex Manuel Álvarez Silvera, empezó a hostigar a su ex pareja, una menor de edad a quien le exigía insistentemente retomar la relación. Ante su negativa, Álvarez empezó a acosarla por diferentes medios, pero principalmente a través de Whatsapp, enviando mensajes intimidatorios cuya gravedad fue escalando y que incluían todo tipo de agravios personales (“Perras como tú no deben vivir”), chantajes (“No sabes lo que te espera puta de mrd, la perra de monserrat”) e incluso amenazas de muerte a la víctima y su madre (“Y dale toma foto bb toma tu Scream para irme a la cárcel cuando te mate y así pueda ser el asesino que tanto quiero ser, si tengo que irme a la cárcel para que las perras como tú no vivan lo haré»).

Leer más


  1.  Creemos que la palabra víctima no es la adecuada para referirse a una persona que sufrió y sobrevivió a casos de violencia de género en línea, pues ignora su agencia y la define sobre la base de lo que vivió, y no por quién es. En este artículo la usaremos por un tema de claridad y seguimos en la búsqueda de un mejor término para describir a este grupo de personas. Aceptamos sugerencias.

Dirección de Protección de Datos Personales multa a ONPE por filtrar datos personales de votantes

El año pasado les contamos sobre un filtrado de datos personales que afectó a la ONPE durante 2018, a propósito del formulario de inscripción de un evento en donde debía ponerse a prueba la seguridad del voto electrónico. Como señalamos en su momento, la nula respuesta de esta institución y la ausencia de explicaciones motivó nuestra decisión de ingresar una denuncia formal ante la Dirección Nacional de Protección de Datos del Ministerio de Justicia. Hace pocas semanas hemos sido notificados de la decisión de la autoridad que termina multando a la ONPE por desconocer las obligaciones de seguridad que le resultan aplicables.

El sustento de nuestra denuncia

En julio de 2018, denunciamos a la ONPE ante la Autoridad de Protección de Datos Personales (APDP) por infracciones contra la Ley de Protección de Datos Personales (LPDP). Esto, a raíz de la exposición masiva de millones de datos, que se produjo por la implementación de una plataforma web de inscripción al evento “Hackaton 2018”, que permitía acceder a los datos personales de todos los peruanos inscritos en el padrón electoral. La APDP, atendiendo nuestra solicitud, inició un procedimiento de fiscalización a la ONPE que ha culminado este año.

¿Qué reclamamos exactamente? La LPDP es la norma que establece el régimen aplicable al tratamiento de los datos personales en el país. Entre otras cosas, allí se señala qué principios y condiciones debe respetar quien solicite, almacene o utilice los datos de terceros. En nuestra denuncia señalamos que la filtración de la ONPE infringió hasta tres principios de la LPDP, además de la Directiva de Seguridad dictada por la APDP.  Los principios cuyo desconocimiento denunciamos fueron los de consentimiento, proporcionalidad y seguridad. En el caso del consentimiento, sostuvimos que aunque la ONPE tiene como fin llevar un registro del padrón electoral, utilizar esta base de datos para su plataforma de inscripción a la Hackatón era un uso diferente al que está autorizado por ley. Por lo tanto, no tenía el consentimiento expreso de los ciudadanos para dicho uso. Ya en el pasado la APDP ha multado a entidades públicas y privadas por este motivo.

Leer más

Ciberseguridad en Perú: dos leyes, un camino

En los últimos años, nuestra leyes sobre ciberseguridad han avanzado lentamente. Desde la última ley de delitos informáticos aprobada el 2013, el tema nunca había vuelto a encontrar un espacio propio en la agenda regulatoria. Hasta hace unos meses, cuando el Congreso presentó dos proyectos de ley sobre ciberseguridad y ciberdefensa que crean un nuevo punto crítico en el desarrollo de políticas públicas sobre el tema.

El 2018 fue un año especial para la ciberseguridad en el Perú. Un problema surgido el año anterior del cual dimos cuenta, propició toda una cadena de acciones por parte del Ejecutivo. Poco a poco, se comenzó a dar forma al incipiente panorama de la ciberseguridad o “seguridad digital,” que es el nombre que el Estado decidió emplear para este tipo de políticas. En principio, se definió este concepto y sus alcances. Luego, se estableció que la Secretaría de Gobierno Digital (SEGDI, ex ONGEI) sería la encargada de liderar estos esfuerzos desde el Estado en todos los niveles: normativo, estratégico, etc.

Pese a la expectativa, este primer momentum no duró mucho. A diferencia de otros espacios como la CODESI (Comisión para el Desarrollo de la Sociedad de la Información), que naufragaron por falta de voluntad política, el problema con la SEGDI es de tipo orgánico. La SEGDI es solo una de las cinco secretarías de la Presidencia del Consejo de Ministros, su presupuesto y personal son limitados, y no tiene autonomía o jerarquía suficientes para hacer todo lo que debe hacerse en materia de seguridad digital. No es que no lo intente, pero todo avanza más lento de lo que debería. Este es un escenario perfecto para que otros actores decidan tomar la iniciativa y así fue.

Leer más

LACIGF 12: Revisiones, cambios y consolidación de nuevos espacios

A inicios de agosto, se llevó a cabo la 12 Reunión Regional Preparatoria para el Foro de Gobernanza de Internet (LACIGF), en la ciudad de La Paz, Bolivia. Como todos los años, el equipo de Hiperderecho estuvo presente y participó del evento principal además de los eventos paralelos que se realizaron durante la semana. Igual que en las ediciones de 2016 y 2017 y 2018, este año también tenemos varios comentarios.

¿Qué es el LACIGF?

Si no están familiarizados con el término, LACIGF son las siglas de “Foro de Gobernanza de Internet de Latinoamérica y el Caribe”. Este evento reúne a los actores de esta región (sociedad civil, gobiernos, empresas, etc.) para discutir sobre temas de interés regional relacionados al desarrollo de Internet. Aunque no son espacios conectados, LACIGF es una especie de antesala del Foro de Gobernanza de Internet, que este año se realizará el Berlín.

De igual forma que el evento global, LACIGF está construido a partir de una serie de principios. Algunos de ellos son: poseer un esquema de desarrollo en donde participen las múltiples partes interesadas, que no tenga necesariamente un carácter resolutivo, que no exista ánimo lucrativo en su realización, entre otros. Desde el 2008, el evento se realiza en un país diferente de la región latinoamericana y caribe.

Leer más

Ley de Protección de Datos y seguridad ciudadana

Existen actualmente diferentes excepciones a la ley de protección de datos peruana que impide a los ciudadanos ejercer su derecho a controlar la forma cómo se trata su información personal para fines de seguridad ciudadana. 

1. ¿En qué consiste?

Las leyes de datos personales suelen ser creadas con el fin de establecer las condiciones bajo las cuales se recopila y almacena información de carácter personal, así como quiénes están autorizados para hacerlo y cuáles son los derechos que tienen los titulares de dichos datos. El objetivo es generar un ecosistema de confianza que permita el uso de esta información, sin que se vulnere el consentimiento o la privacidad de las personas. En algunos casos las leyes otorgan la posibilidad de que el tratamiento de los datos se realice solo con autorización previa, pero en algunos casos puede realizarse por mandato legal.

En el Perú, desde el año 2011 se cuenta con una ley de protección de datos personales que tiene como objetivo proteger el uso de la información de las personas. En ella se recogen los escenarios bajos los cuales se autoriza su recopilación y tratamiento, así como los derechos que tienen los titulares que son: Derecho de acceso, rectificación, cancelación y oposición (ARCO). Existe también una Autoridad Nacional de Protección de Datos encargada de supervisar el cumplimiento de esta norma. Sin embargo, también existen excepciones contempladas en dicha ley. Una de las más amplias es la que autoriza a las entidades públicas a tratar datos personales de los ciudadanos sin necesidad de consentimiento y con reglas poco claras sobre su tratamiento posterior.

Leer más

Intervención legal de las comunicaciones

Durante la investigación de casi cualquier delito, la Policía y el Ministerio Público pueden acceder al contenido de nuestras comunicaciones mediante autorización judicial

1. ¿En qué consiste?

La intervención de las comunicaciones y sus datos derivados forman parte de las políticas públicas implementadas con el fin de facilitar la prevención e investigación de los delitos. Las normas de este tipo sirven para crear un marco legal bajo el cual, en determinadas circunstancias y con límites previamente establecidos, entidades como la Policía Nacional o el Ministerio Público pueden solicitar el acceso a las comunicaciones, incluso en tiempo real, así como el almacenamiento de sus datos derivados para consulta posterior.

En el Perú también existen normas que permiten la intervención de las comunicaciones en el transcurso de la investigación de un delito, recogidas en el Código Procesal Penal. Estas medidas, que tienen carácter de extraordinarias, deben ser solicitadas al juez competente, quien determina de qué manera y por cuánto tiempo se permite la intervención a una o varias personas.

Leer más

Sistema nacional de inteligencia y privacidad

1. ¿En qué consiste?

Hoy en día es casi imposible encontrar un país que no cuente con una estrategia de Seguridad Nacional, que está destinada a prevenir la interrupción del gobierno nacional, combatir las amenazas internas o externas y asegurar la prestación de servicios públicos para la población. Dentro de este esquema, las leyes de inteligencia son herramientas muy útiles pues permiten a las fuerzas públicas , recabar información de forma lícita, aún cuando para ello se empleen medidas que en otros casos podrían resultar ilegales.

En el Perú existe un marco legal de acción de los servicios de inteligencia, tanto a nivel de la Policía como de las Fuerzas armadas. Por regla general, estas normas solo se aplican en casos muy específicos, todos ellos relacionados a la Seguridad y la Defensa Nacional. Para los demás casos, como la investigación de delitos comunes, las normas de inteligencia no deberían ser aplicables. Sin embargo, en el caso peruano las reglas no son tan claras, lo que permite un rango de acción muy amplio.

Leer más

Identificación biométrica obligatoria

Adquirir una línea de teléfono, tramitar el DNI electrónico o hasta vender un auto a través de una Notaría requieren verificación biométrica obligatoria

1. ¿En qué consiste?

El empleo de la identificación biométrica es una práctica que busca incrementar la eficacia de la identificación de personas con diferentes fines: desde la prestación de servicios, hasta la investigación criminal. Desde el punto de vista de las políticas públicas, son una herramienta que añade una capa tecnológica a un proceso ampliamente utilizado por entidades públicas y privadas a la hora de ofrecer productos y servicios.

En Perú, la implementación de la biometría inició con el propósito de servir a los procesos de identificación de personas liderados por RENIEC. Posteriormente la identificación biométrica pasó a formar parte central de diferentes esquemas de registro y verificación con fines de seguridad ciudadana, especialmente para evitar los delitos contra el patrimonio y la fe pública, como el robo, el hurto, los fraudes, etc.

Leer más

Acceso al registro de celulares sin orden judicial

La lista de equipos móviles y la identidad de sus titulares de todo el país está en poder del Estado y la Policía Nacional puede acceder a ella sin contar con una orden judicial que lo permita.

1. ¿En qué consiste?

El acceso a registros o listas creadas por mandato legal por parte de entidades del Estado es una práctica común en muchos países. Como política pública, esta es una herramienta que sirve con diferentes propósitos. Por ejemplo: fiscalizar una actividad regulada, asegurar el funcionamiento de un servicio, ofrecer seguridad jurídica para las transacciones, etc. En algunos casos, también sirven con el propósito de prevenir y perseguir los delitos, como es el caso de los registros relacionados a las comunicaciones.

En el Perú existen diferentes leyes y disposiciones reglamentarias que aprueban registros y listas de todo tipo, incluyendo también los registros de las comunicaciones. Una de estas listas es el RENTESEG, un registro nacional de celulares asociados a los datos personales de sus titulares. Además de permitir el bloqueo en caso de robo o pérdida, este registro virtualmente puede permitir el acceso a esta información a la Policía aun sin contar con las garantías de un mandato judicial.

Leer más