Los abogados Erick Iriarte, Carol Quiroz y Alejandro Morales opinaron sobre la nueva propuesta de reglamento para la Ley de Protección de Datos Personales y coincidieron en que es necesario pulir varios aspectos para evitar un efecto contrario al previsto.
Tras diez años de vigencia de la Ley de Protección de Datos Personales, el uso de internet a través del celular se ha elevado considerablemente, generando nuevos retos en el ámbito de protección de la información sensible. Ante esto se ha planteado un nuevo reglamento, pero no todos están de acuerdo con el alcance que se propone.
La Ley de Protección de Datos Personales y su reglamento entraron en plena vigencia en abril del 2013, luego de año y medio de la publicación de la ley, porque la primera propuesta de reglamento quedó en standby al efectuarse el cambio de Gobierno, explicó Erick Iriarte, CEO de eBIZ, durante el conversatorio sobre la norma que organizó en setiembre el Círculo de Estudios de Derecho y Tecnología de la Universidad de Lima (CIDETEC).
El reglamento respondía al contexto de la época, dijo, pero llegaba con casi cincuenta años de retraso frente a la normativa europea, que surgió luego de la Segunda Guerra Mundial para evitar que se repitan situaciones como el holocausto, cuando se identificó en el censo los detalles de religión y salud de la población, que luego fueron usados para definir a quien matar.
En Perú, iniciada la vigencia de la ley, la autoridad empezó a encontrar en la práctica algunos casos especiales no previstos en el reglamento, los cuales han sido incluidos en la propuesta de norma actual, que está elaborada atendiendo a los estándares que rigen en la actualidad en Europa. El problema, añadió Iriarte, es que se están incluyendo otros aspectos que van más allá de la ley o no se adecúan a la realidad local.
Carol Quiroz, socia del Estudio Olaechea que también participó en el conversatorio, comentó como ejemplo que se incluye el concepto de las evaluaciones de impacto con el fin de identificar, analizar y minimizar los riesgos que se pueden presentar en el tratamiento de los datos personales en una organización. La medida, tomada de la normativa europea, no lo define con claridad y “terminará quedando como una buena intensión”.
Quiroz consideró que la autoridad tiene primero que desplegar una labor muy grande de educativa para que las empresas puedan desarrollar estas evaluaciones de impacto y medir los riesgos del manejo de información sensible al elaborar los perfiles a los que se dirigen las campañas de marketing.
«(I)ncluir una obligación de evaluación de impacto, en este momento, no será favorable, sino que generará el efecto contrario, porque las empresas optarán por no hacerlo»
– Carol Quiroz, socia del Estudio Olaechea.
«Para que uno pueda hacer una evaluación de impacto, tiene que entender cuál es su flujo de datos, el ciclo de vida de sus datos, en cuáles de sus operaciones está, finalidades del tratamiento y para llegar a eso, primero hay que haber comprendido todo el marco legal. El país, dicho sea de paso, aún estamos en una etapa de crecimiento en comprensión, entonces incluir una obligación de evaluación de impacto, en este momento, no será favorable, sino que generará el efecto contrario, porque las empresas optarán por no hacerlo. Aún no es el momento”, enfatizó.
“Se trata de un error táctico. No puedes hacer dos regulaciones iguales en territorios económicamente diferentes y con construcciones jurídicas diferentes. Es muy bonita la labor en Europa. Viene construyéndose hace 50 años. Pero si tú cortas y pegas en la legislación local, generas una obligación que no se podrá cumplir”, advirtió Iriarte. Un pediatra, por ejemplo, maneja información sensible, pero no tiene la preparación para hacer estas evaluaciones, como quizás la tenga una transnacional como Telefónica. Entonces, primero enséñale al médico y su asistente sobre el tema cómo aplicarla, añadió.
“Tenemos que evaluar todo de acuerdo con nuestro contexto histórico. Una evaluación de impacto es una herramienta muy valiosa y son necesarias. ¿Las van a hacer bien? ¿Cuál es el incentivo para hacerlas? Creo que debe ser facultativo. Esto va a ser letra muerta”, añadió Alejandro Morales del estudio Torres y Torres Lara y también profesor de la Universidad de Lima.
«Se trata de un error táctico. No puedes hacer dos regulaciones iguales en territorios económicamente diferentes y con construcciones jurídicas diferentes».
– Erick Iriarte, CEO de eBIZ.
En lugar de esta obligación de evaluaciones de impacto, que podría esperar algunos años, debió incluirse el cuidar la privacidad desde el diseño, añadió Morales. Otro ejemplo de obligación para las que no estamos listos como país es la de contar con un oficial de cumplimiento en protección de datos dentro de las organizaciones, añadió.
Quiroz aclaró que, en la práctica, en las asesorías que brindan, recomiendan que haya una persona dentro del área legal que se encargue del monitoreo. Pero, ciertamente primero se debe generar personal capacitado para esa función. “La misma autoridad debería dictar cursos para que las personas puedan certificarse y acreditar experiencia. Hay que dar una fase de implementación para que esto funcione”, dijo.
Si bien los estudios de abogados locales o extranjeros pueden asumir el rol, añadió Iriarte, tampoco especifican cuáles son las características que debe tener el cargo, la idoneidad del oficial. Este individuo asumirá las responsabilidades penales y civiles si hay fallas, requerirá un seguro para protegerse, etc.
«En lugar de esta obligación de evaluaciones de impacto, que podría esperar algunos años, debió incluirse el cuidar la privacidad desde el diseño».
– Alejandro Morales del estudio Torres y Torres Lara.
Puede ser extranjero, pero disponible localmente, agregó Quiroz. En el nuevo reglamento, además, se traslada la figura del responsable por el tratamiento de los datos al exterior del país. La aplicación de la ley peruana incluye a empresas que no están en el Perú y deberán hacer su tratamiento de la data atendiendo a nuestra realidad, aun cuando solo se trate de tráfico que circula por aquí, pero es procesado fuera tal como sucede en algunas empresas, como los aplicativos de taxi. “El reglamento ahora estará para tratar de justificar la imposición de sanciones”, opinó.
¿Gratis?
Carol Quiroz, socia del estudio Olaechea, comentó que en la propuesta de reglamento se establece la gratuidad de la inscripción, pero en el fondo eso no es más que “una mentirilla”. Según explicó, a los emprendedores no les dice nada el reglamento y no tienen conocimiento sobre todo el ciclo de vida del dato, por tanto, no comprenden la relevancia de llenar el formulario a menos que inviertan en asesoría. Entonces optan por no hacerlo, porque lo ven como una barrera. Pero luego les viene una multa muy alta, porque debieron ser proactivos. Como era gratuito, existe una responsabilidad proactiva. “Y ahora las multas graves son por temas del día a día”, lamentó.
“Se genera un incentivo contrario, al igual que con las evaluaciones de impacto. Estamos, en el Perú, recién en un camino de construcción de una cultura de datos, pese a que el reglamento tiene ya 10 años de aplicación”, dijo. La autoridad ha tomado un rol protagónico desde hace cinco años y está haciendo su trabajo educativo, además de fiscalizar, pero todavía falta bastante, aclaró.
“La regulación en sí es un desincentivo al cumplimiento y creo que lo que requerimos es seguir en esta tarea educativa. Hazlo de a pocos, no necesitas un programa tan grande, ve cumpliendo de a pocos, pero cumple y entiende cuáles son tus obligaciones”, remarcó Quiroz.
Alejandro Morales, consideró que no es tan útil la obligación de registrar las bases de datos, aún cuando sea gratuita y se debería, en todo caso, incluir excepciones. Lo mismo se aplica, opinó, en el tema del deber de información dentro del consentimiento. Se dice que no debe someterse al usuario a una decisión automatizada, pero no establece excepciones, como sí lo hacen en la norma europea para la elaboración de perfiles.
«Si lo que han querido es incorporar una nueva disposición en el reglamento, no deberían haberlo hecho. Los reglamentos no pueden ir más allá de la ley. Y ese es un problema que la misma autoridad en algún momento ha mencionado. Están metiendo su casuística en el reglamento cuando debería estar en la ley”, afirmó Iriarte, tras aclarar que se estaría yendo contra lo que dice la constitución sobre cómo deben ser las normas.
