Publicado por: BFE+
Como se sabe, en agosto de 2023 se publicó para comentarios el proyecto de nuevo Reglamento de la Ley 29733, Ley de Protección de Datos Personales1. Buscar un cambio en esta regulación es correcto, la autoridad tiene más experiencia, hay desarrollos regulatorios de otras jurisdicciones que muestran mejores prácticas, y sobre todo se justifica por el notorio desarrollo de las plataformas y servicios digitales.
Sin embargo, hay reglas en la propuesta que crearían una sobrecarga regulatoria contraproducente para el propio titular de los datos personales y que no tendrían la capacidad de reducir la incidencia de infracciones.
Esto sucede en específico con algunas reglas que se proponen sobre el consentimiento requerido para el tratamiento de los datos personales. Así, no sólo se contempla que el consentimiento debe ser libre, previo, expreso e inequívoco, e informado. Además, se incluye como novedad que, si el tratamiento de datos es para más de una finalidad, se requiere el consentimiento específico para cada una de ellas (numeral 1.3 del artículo 1), lo que implica detallar qué tratamiento tiene por objetivo determinada finalidad (numeral 1.2 del artículo 1).
Ya no bastará entonces un consentimiento para varias finalidades, sino que se requerirá de tantos consentimientos como finalidades tenga el titular del banco de datos personales o el responsable del tratamiento de los datos.
No observar la regla anterior puede ocasionar que se considere que el consentimiento no ha sido libre, porque podría mediar error en la manifestación de voluntad del titular de los datos personales (numeral 3.1 del artículo 3). También puede ocasionar que se considere que el consentimiento no ha sido informado, porque no se ha explicado al titular de los datos las finalidades del tratamiento de forma clara y con lenguaje sencillo (numeral 6.1.2 del artículo 6).
La exposición de motivos del proyecto de Reglamento no sustenta esta propuesta. Se ha señalado que en ciertos aspectos el proyecto de Reglamento se inspira en el Reglamento General de Protección de Datos Personales de la Comunidad Europea2, pero no es el caso de lo señalado sobre las finalidades del tratamiento de los datos. ¿Cuál es la razón entonces para regular de modo más estricto el consentimiento, obligando no sólo a precisar cada una de las referidas finalidades, sino exigiendo que se obtenga el consentimiento para cada una de ellas? Una posible respuesta es la incidencia de mayor cantidad de infracciones asociadas con este rubro.
En efecto, la Autoridad Nacional de Protección de Datos (ANPDP) ha estado bastante activa. En los últimos 3 años ha fiscalizado a más de 300 entidades cada año, ha iniciado más de 120 procedimientos sancionadores por año, y en el 2023 impuso multas por más de S/. 7,6 millones3. Dato importante es que, del total de infracciones graves sancionadas en el 2023, el 49% fue por la infracción contenida en el literal b) del artículo 132.2 del Reglamento vigente, aprobado mediante Decreto Supremo 003-2013-JUS y modificado a través del Decreto Supremo 019-2017-JUS, es decir por: “Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nº 29733 y su Reglamento”.4
Infracciones graves sancionadas en 2023 por la primera instancia de la ANPDP según literal del artículo 132.2
Sin embargo, la mayor incidencia de infracciones por tratamiento de datos sin tener un consentimiento otorgado adecuadamente no debería ser sustento para generar una sobrecarga regulatoria, imponiendo exigencias que seguramente no modificarán la tendencia de comportamientos infractores. Exigir un consentimiento específico para cada finalidad que tendrá el tratamiento de datos personales no asegura que el consentimiento sea efectivamente bien informado y libre de error.
Existen otras alternativas regulatorias para lograr el mismo objetivo de modo costo-efectivo, no sólo para el titular de la base de datos o el responsable del tratamiento de datos, sino para el propio titular de los datos. Alternativas que, por ejemplo, impliquen un mayor traslado de información al titular de los datos, como explicar cada finalidad del tratamiento con ejemplos simples, pero bastando una sola manifestación de consentimiento para todas las finalidades.
Después de todo, revisar una lista de finalidades y tener que dar consentimiento para cada una puede ser una invitación para que el titular de los datos acepte todo sin revisar el detalle, más por cansancio que por entendimiento.
- Proyecto y Exposición de Motivos publicados a través de la Resolución Ministerial 0270-2023-JUS. Ver: https://www.gob.pe/institucion/minjus/normas-legales/4574374-0270-2023-jus. ↩︎
- Gaspar, Rubiela. ¿Qué sabemos del nuevo Proyecto de Reglamento de la Ley de Protección de Datos Personales? Ver: https://hiperderecho.org/2023/10/que-sabemos-del-nuevo-proyecto-de-reglamento-de-la-ley-de-proteccion-de-datos-personales/. Se hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Ver: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:02016R0679-20160504 ↩︎
- Ver las siguientes notas de prensa de la ANPDP para 2021(https://n9.cl/xzgxq), 2022 (https://n9.cl/m3925), y 2023 (https://n9.cl/lei08) ↩︎
- Datos estadísticos obtenidos de revisar la página de resoluciones de procedimientos sancionadores de la ANPDP para 2023. Ver: https://n9.cl/7x0hv.
Artículo 132.- Infracciones
Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.
(…)
2. Son infracciones graves:
a) No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales de acuerdo a lo establecido en el Título III de la Ley Nº 29733 y su Reglamento.
b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nº 29733 y su Reglamento.
c) Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.
d) Recopilar datos personales sensibles que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos.
e) Utilizar los datos personales obtenidos lícitamente para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
f) Obstruir el ejercicio de la función fiscalizadora de la Autoridad.
g) Incumplir la obligación de confidencialidad establecida en el artículo 17 de la Ley Nº 29733.
h) No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley Nº 29733, a pesar de haber sido requerido para ello por la Autoridad en el marco de un procedimiento sancionador.
↩︎
Eduardo es Máster en Regulación por el London School of Economics and Political Sciences, Reino Unido. Abogado por la Facultad de Derecho de la Pontificia Universidad Católica del Perú. Tiene experiencia en las áreas de Derecho de la Competencia, Regulación Económica, industrias de Redes y Concesiones; relacionadas a sectores de Energía, Infraestructura de Transporte y Telecomunicaciones. Cuenta con un nivel fluido de inglés.