El trabajo de la protección de datos sigue avanzando. Sonados casos, como el de la Reniec, cuando se vulneraron datos de unos 30 millones de peruanos, están próximos a ser sancionados. Ya cuentan con un informe listo sobre Reniec y solo falta determinar la responsabilidad y sanción a aplicar, informó Eduardo Luna Cervantes, director general de la Autoridad Nacional de Protección de Datos Personales (ANPD). A continuación, la segunda parte de la entrevista que realizó eBIZ Noticias, en donde comenta los casos más sonados de infracciones tanto en el sector público como en el privado.
¿Cómo ha evolucionado el cumplimiento de las normas de protección de datos en el sector privado? ¿En qué hay madurez o avance y en qué hay mucho por hacer aún?
Consideramos que en el ámbito privado se está logrando, paso a paso, avances en el mejor entendimiento y la formación de una cultura de protección de datos personales. Así, a través de sus funciones de difusión, orientación y resolución, la ANPD ha logrado posicionar principios relevantes para el adecuado manejo de datos personales, tales como la importancia de obtener el consentimiento e informar adecuadamente al titular del dato personal, el deber de confidencialidad sobre la información, así como las medidas de seguridad que se debe tomar.
De forma concreta, la intervención de la Autoridad Nacional de Protección de Datos Personales, a través de su potestad sancionadora, ha permitido desterrar la idea errónea de que era posible acceder (y aún más comercializar) libremente a información personal de postulantes a un puesto laboral sin contar con su consentimiento.
¿Podría citar algunos ejemplos?
Es el caso de empresas como Servicios Educativos Empresariales (Zegel IPAE), Solgas, Happyland, Confipetrol Andina S.A y Saeg Investigation S.A.C., las cuales se encontraban vinculadas a la comercialización de datos personales de ciudadanos a favor de otras empresas que necesitaban verificar información de postulantes para puestos de trabajo.
Servicio Educativo Empresarial fue sancionada con una multa de 62,33 UIT [S/306 mil aproximadamente] por haber recopilado datos personales sobre antecedentes judiciales, policiales y penales, así como información de denuncias ante el Ministerio Público, de postulantes a puestos de trabajo, por medios ilícitos y desleales, para luego ser utilizados en sus procesos de selección (infracción muy grave).
Con este caso, se estableció el criterio de que el contenido de los antecedentes judiciales, penales y policiales únicamente puede ser obtenido solo por el titular, más no por cualquier persona o empresa, menos aún a través de un vínculo comercial y para un proceso de selección de personal, salvo que sean solicitados por entidades públicas competentes para ello.
Asimismo, la Dirección de Protección de Datos Personales (DPDP) sancionó a Solgas S.A., con multa de 62,33 UIT por obtener de forma ilícita, datos personales sobre los antecedentes penales, policiales, judiciales, entre otros, de sus trabajadores o colaboradores. De igual forma se multó por la misma conducta a Sociedad Happyland Perú S.A. (29.33 UIT), Confipetrol Andina S.A (40.33 UIT) y Saeg Investigation S.A.C.
Si bien la represión de estas conductas ilegales por parte de estas empresas involucró el ejercicio de la potestad sancionadora de la ANPD, es pertinente resaltar que algunas de ellas muestran voluntad de corregir sus conductas, como ha sido el caso de la empresa Happyland Perú S.A.
¿En el caso de las entidades públicas qué ha pasado?
En el ámbito del sector público se ha tramitado procedimientos sancionadores contra la Superintendencia Nacional de Migraciones (Expediente 025-2021-JUS/DGTAIPD-PAS) habiéndosele aplicado multas por 30,38 UIT [S/148 mil aproximadamente] y 8,63 UIT [unos S/39 mil] por incumplir con el deber de confidencialidad y la implementación de medidas de seguridad.
Durante la tramitación de este procedimiento se comprobó la obtención ilegal de fotografías de los reportes migratorios emitidos por el Sistema Integrado de Migraciones – SIM; y de los pasaportes de determinados pasajeros considerados como “personas públicas”, las cuales eran transmitidas a empleados que no formaron parte de la atención al titular de la información.
«Las multas más altas han sido impuestas a Google LLC por negarse a cumplir medidas correctivas dictadas por la Autoridad Nacional de Protección de Datos Personal».
¿Hay otros casos emblemáticos?
Se sancionó a Essalud con multas de 6,38, 12,75 y 1,4 UIT por difundir en su sitio web y en ambientes internos y externos de sus oficinas imágenes de personas sin haber obtenido válidamente el consentimiento de sus titulares; así también por realizar tratamiento de datos personales sin haber informado los pormenores del tratamiento de los datos personales; y finalmente, por no inscribir sus bancos de datos personales.
Durante el procedimiento, EsSalud reconoció no haber contado con la totalidad de los consentimientos de los titulares de las imágenes que empleó en su sitio web y soportes. Asimismo, se comprobó la responsabilidad de las conductas infractoras por incumplimiento del deber de informar y la no inscripción de sus bancos de datos.
También se ha sancionado a la Policía Nacional del Perú con multas de 23,62 [S/ 113 mil aproximadamente] y 1,51 UIT por el incumplimiento de la obligación de confidencialidad y la implementación de medidas de seguridad.
Es el caso en el que usuarios de la PNP habrían consultado en los sistemas de la PNP por los antecedentes policiales de un ciudadano, y habrían entregado dicha información a terceras empresas dedicadas a comercializar datos personales. Así la ANPD determinó que la PNP se encuentra obligada a asegurar el cumplimiento del deber de confidencialidad al ser la persona jurídica que tiene a sus sistemas de búsqueda de antecedentes, lo cual implica también instruir a sus dependientes o empleados al cumplimiento de las garantías de protección de los datos.
¿Qué paso con el caso de la Reniec y el robo de datos de casi 30 millones de peruanos ampliamente difundido por la prensa en el 2022?
A la fecha cuenta con Informe Final de Instrucción N.º012-2023 del tres de febrero del 2023 y se encuentra ya en la Dirección de Protección de Datos Personales (DPDP) para emisión de resolución final que determine la responsabilidad administrativa de dicha entidad pública.
¿Y zorrito Run Run?
El caso conocido como “Zorrito Run Run” a la fecha se encuentra en la misma dirección (DPDP) a efectos de la emisión de la resolución final correspondiente.
¿Cuántas multas se han aplicado hasta ahora, desde 2013?
Desde el año 2013 al año 2016 se han aplicado multas a 65 entidades. Desde el año 2017 al 2023 se han impuesto 522 multas, de acuerdo al siguiente detalle: 2017 (23), 2018 (62), 2019 (82), 2020 (77), 2021 (91), 2022 (117) y 2023 (70).
¿Cuál ha sido la más alta o la más escandalosa?
Las multas más altas han sido impuestas a Google LLC por negarse a cumplir medidas correctivas dictadas por la Autoridad Nacional de Protección de Datos Personal. Este año, por ejemplo, se impuso una multa de 100 UIT [S/ 490 mil estimado], por su reticencia a acatar lo dispuesto por la autoridad y seguir manteniendo indexados los datos personales de un reclamante. Asimismo, en el año 2022, se impusieron multas de 95,33 UIT [S/ 419 mil] y 73,33 UIT [S/ 307 mil], por no cumplir las medidas correctivas dictadas para procurar limitar la hiper visualización de datos de personas (nombres y apellidos) que antes obtuvieron una resolución favorable.
Otros casos relevantes (escandalosos) se encuentran referidos a Banco de Crédito del Perú S.A. (BCP) con una multa de 40 UIT [S/198 mil estimado] por no garantizar la confidencialidad de los datos personales de sus clientes ya que no tenía implementadas las medidas de seguridad adecuadas para el almacenamiento de datos personales, sufriendo un ataque cibernético en el que terceros accedieron a datos financieros personales de un grupo de clientes referidos a números de tarjetas, cuentas y saldos.
Asimismo, Oncosalud con una multa de 28,13 UIT [S/138 mil estimado] por incurrir en prácticas indebidas efectuando llamadas publicitarias (telemarketing), a través de intermediarios, sin consentimiento de los titulares de los datos personales. Asimismo, se impuso multas por la misma conducta a otras empresas: Tcontakto S.A.C (27,5 UIT) y Servicios de Call Center del Perú S.A (25 UIT).
También es pertinente tomar en cuenta los casos antes mencionados de Solgas S.A., Servicio Educativo Empresarial S.A.C (62,33 UIT), Sociedad Happyland Perú S.A. (29,33 UIT), Confipetrol Andina S.A (40,33 UIT) y Saeg Investigation S.A.C.
