Etiqueta: datos personales

Presentamos informe de Uso de Herramientas Digitales en las Elecciones 2021

Gracias al apoyo de la National Endowment for Democracy, en este nuevo informe evaluamos el impacto que tuvieron los candidatos y sus partidos en redes sociales y lo contrastamos con los resultados de las elecciones. Para ello, tomamos en cuenta las métricas de interacción, aprobación y sociabilidad que obtuvieron las diferentes cuentas de las cuentas oficiales de Facebook, Instagram y Twitter de los candidatos.

Leer más

IGF 2017: diálogos necesarios para una internet mejor

Pasó otro Foro de Gobernanza de Internet y dejó muchas cosas para analizar y contar. Participamos en dos paneles que contribuyeron al debate regional de dos temas súper importantes: los desafíos de la implementación de verificación biométrica en nuestro país y los avances (o retrocesos) en la regulación que protege nuestros datos personales. También fuimos incluidos en el Reporte de Global de la Sociedad de la Información, donde contamos la experiencia peruana en organizar y llevar a cabo el segundo Foro Peruano de Gobernanza de Internet. Por último, junto a otras organizaciones de la región, presentamos una carta abierta expresando nuestra preocupación por los caminos que está tomando el debate acerca de las «noticias falsas».

Creemos fehacientemente que estos espacios siguen siendo de incalculable importancia para promover el diálogo. Allí participan representantes de todas las partes que diseñan, regulan y usan internet. Hoy más que nunca, internet es una red que sirve para el ejercicio de nuestros derechos y libertades. Por eso, debemos trabajar y comprometernos para que no cambie.

Leer más

Cuando el Estado se mete con nuestras huellas

Cada vez más servicios en el Perú piden datos biométricos para verificar nuestra identidad. Requieren nuestras huellas dactilares en las notarías, en los bancos, en las tiendas que venden celulares. Para solicitar el nuevo pasaporte o el DNI electrónico también piden el registro de las diez huellas de las manos y nuestra foto. La verificación biométrica está de moda. Los peruanos están contribuyendo a una base de datos sensibles (biométricos) que no se sabe bien quién la maneja, cómo o para qué.

En este contexto, el Ministerio de Transportes y Comunicaciones ha publicado el Decreto Supremo 004-2017 que adelanta intempestivamente la obligación que tenían las empresas proveedoras de líneas móviles de instalar lectores biométricos en cada uno de sus puntos de ventas. Con esta modificación, a partir del 1 de abril de 2017 sólo se podrá comprar una línea móvil si es que proporcionamos nuestra huella digital. Comprarla por Internet, difícil. Comprarla anónimamente, imposible.

La revolución del comercio electrónico está ocupando un lugar protagonista. Los bitcoins y las fintech vienen ganando terreno en nuestro país. También lo hacen los mecanismos de verificación de identidad y controles financieros. Identidad biométrica es lo que dicen que se necesita: “No hay otra forma de saber quién realiza una transacción en línea, si no es a través de la identidad biométrica”. Frase hecha que no ayuda mucho por ahora.

En nuestro actual ambiente regulatorio, donde los conectados no llegan a un 50% de la población, donde se prohíbe jugar a un juego móvil en una zona particular, donde se cuestionan nuevas formas de hacer cosas viejas, la innovación y la disrupción del mercado  están jugando un papel clave. El Estado tiene que dejar hacer y no deshacer. Mientras siga poniendo más trabas y más condiciones para la libre competencia, más sufrirá la ciudadanía, los usuarios y los emprendedores.

Leer más

Protección de Datos Personales, Datos Perú y las normas legales

La semana pasada se hicieron públicas dos decisiones de la Autoridad de Protección de Datos Personales (APDP), el órgano administrativo creado por la Ley de Protección de Datos Personales para fiscalizar su cumplimiento, multando a la web Datos Peru con 60 UITs. Aunque la APDP viene conociendo procedimientos de reclamación desde fines del 2013, se trata del primer caso conocido en el que se ha llegado a imponer una multa.

En ambos casos, dos ciudadanos presentaron sendas reclamaciones contra DatosPeru porque había desconocido sus solicitudes de eliminar sus nombres de su página web. Específicamente, las páginas reclamadas eran las correspondientes a una Resolución Ministerial y un Decreto de Alcaldía publicados originalmente en el boletín de normas legales de El Peruano y republicadas íntegramente por DatosPeru. En sus resoluciones, la APDP consideró que estas normas legales debieron de haberse previamente anonimizado antes de hacerse públicas y que el que hayan sido publicadas en El Peruano no autorizaba a que otras personas lo hagan también en igual condición.

El primer tema controversial en ambas decisiones es la determinación de la jurisdicción aplicable a DatosPeru. Según el Reglamento de la Ley de Protección de Datos Personales, la APDP solo es competente en en las reclamaciones contra personas domiciliadas en el territorio nacional o cuando el tratamiento se lleve a cabo en Perú. En este caso, no se pudo demostrar la afiliación de DatosPeru con una persona jurídica local o un número de IP correspondiente al país (según el registro WHOIS). Lo que finalmente llevó a la APDP a establecer el domicilio de la reclamada en Perú fue la dirección que consignó como domicilio en su página de Facebook (¡!). Este es un punto polémico porque la misma APDP en dos ocasiones ya había declarado inadmisible otras reclamaciones porque no se pudo acreditar el domicilio en Perú de los reclamados. Sin embargo, en este caso, una prueba tan débil como esa terminó inclinando la balanza y sirviendo para establecer la jurisdicción de la APDP. Sin embargo, incluso habiendo “asumido” el domicilio, no se pudo determinar con exactitud la persona jurídica responsable de la página y ello representará un problema para el cumplimiento de la resolución.

Pero el auténtico tema de fondo es si la APDP resolvió adecuadamente al determinar que las normas legales publicadas en el El Peruano solo pueden republicarse previo proceso de anonimización. Aunque DatosPerú quizás es más conocida por republicar la base de datos de contribuyentes de SUNAT, otra de sus labores es la de republicar el boletín de normas legales de El Peruano. Dado el paupérrimo estado de la publicidad de las normas legales en nuestro país, no sorprende que este sea un servicio ofrecido y demandado por muchos. Pero a diferencia de El Peruano o SPIJ, DatosPeru republica el texto de las normas legales gratuitamente, en un formato accesible y permite su indexación por buscadores (algo que los otros dos impiden vía archivos robots.txt: 1, 2). Precisamente esta disponibilidad a través de buscadores parece ser una de las cosas que distingue, según la Autoridad, la actividad de Datos Perú de l que realiza El Peruano. Adicionalmente, para la APDP, el que un documento haya sido previamente publicado en el Diario Oficial “no faculta al reclamado a realizar un tratamiento de datos personales que resulta perjudicial para el reclamante y que no se justifica en el interés público”.

Finalmente, la APDP sustenta su decisión en una interpretación extensiva del Reglamento de Protección de Datos Personales que señala que los “repertorios de jurisprudencia” podrán ser considerados como fuentes accesibles al público siempre que estén debidamente anonimizados (es decir, con los nombres y datos personales borrados). En los casos que motivan estas resoluciones, sin embargo, no estamos frente a jurisprudencia sino a normas legales de carácter particular. Ninguna base de datos que incluye este tipo de normas, incluyendo la que comercializa el propio Ministerio de Justicia, tiene los datos personales de los involucrados anonimizados. Bajo esta interpretación, son muchas las entidades públicas y empresas que pueden ser sancionadas al publicar sus normas sin borrar el nombre de las personas involucradas.

La Ley de Protección de Datos Personales, luego de tres años y medio de haber sido publicada, es usada por primera vez para imponer una sanción. Lamentablemente, creo que este primer precedente pudo estar mejor escogido. Además de los múltiples problemas de ejecución que representa intentar hacer cumplir una decisión a una empresa fantasma, resulta problemático orientarla contra la publicidad de las normas legales. En principio, porque existen muchísimas otras situaciones donde la infracción a la protección de los datos personales es incontestable y constituyen prácticas generalizadas en el mercado. Pero también porque el criterio de que la información pública estatal como las Normas Legales solo puede replicarse siempre y cuando esté anonimizada parece excesivo desde el punto de vista de la transparencia y el acceso a la información pública.

¿Existe un interés público en saber que tal o cual persona fue separada de un cargo, nombrada o su renuncia fue aceptada mediante una Resolución Ministerial o una decisión municipal? Yo creo que sí. Ese tipo de información se publica en el Diario Oficial con nombres y apellidos porque no solo sirve de aviso general sino también porque al hacerlo pasa a integrar un registro público inalterable. Proyectos de periodismo de datos tan valiosos como Verita o Publitobot, precisamente se apoyan en este tipo de registros públicos para indagar en la vida pública de futuros alcaldes, congresistas y ministros. El derecho a la protección de datos personales, entendido como lo reflejan las decisiones de la APDP, puede ser una herramienta peligrosa para que cualquier persona que fue sancionada, separada de un cargo o procesada pueda borrar todo rastro del hecho de cualquier repositorio público.