Por María Cecilia Chumbe Rodríguez, abogada. Perú
La Ley de Protección de Datos Personales N° 29733 se publicó el 3 de julio del 2011, creándose la Autoridad Nacional de Protección de Datos Personales – APDP, dentro de la estructura orgánica del Ministerio de Justicia y Derechos Humanos, como órgano rector en la materia y garante del cumplimiento del derecho constitucional a la protección de datos personales, la cual entró en plena vigencia, conjuntamente con el reglamento, el 08 de mayo de 2013.
Desde esa fecha, la APDP ha venido cumpliendo legítimamente sus funciones administrativas, normativas, orientadoras, resolutivas, fiscalizadoras y sancionadoras; funciones que han permitido en distintos sectores dar el inicio a la construcción de la cultura de la protección de datos personales y el respeto por dicho derecho[1]. Los logros conseguidos, con recursos humanos, infraestructura y presupuesto reducidos, no solo se hicieron notar al interior del país, sino que se consiguió un posicionamiento importante en el concierto iberoamericano de la privacidad, lo que motivó el reconocimiento de la Red Iberoamericana de Protección de Datos al considerar un verdadero referente a la autoridad peruana[2].
El 28 de julio de 2016 se inició un nuevo gobierno en el Perú y en el mensaje presidencial se remarcó el deseo de una “revolución social para el país”, que conlleve a “un país moderno, más justo, más equitativo y más solidario (…) el cual se logrará (…) conectándonos, usando tecnologías modernas de información (…) y un país moderno significa ser un país honesto y no corrupto (…); y para lograrlo se necesita (…) una autoridad especial dedicada a luchar contra la corrupción con toda la independencia y autonomía necesaria para poder hacerlo”.
El primer ministro, acompañado de su gabinete ministerial, se presentó ante el Congreso de la República, el 18 de agosto, para pedir el voto de confianza; y en su discurso señaló que entre las soluciones para la lucha contra la corrupción impulsarán la creación de una autoridad autónoma que garantice el derecho ciudadano al acceso oportuno y transparente a la información pública. El gabinete logró el voto de confianza del Poder Legislativo.
A inicios de setiembre, el Poder Ejecutivo solicitó al Congreso de la República la delegación de facultades para legislar en cinco materias, entre ellas la lucha contra la corrupción, que incluye entre las medidas la unificación de la autoridad nacional de transparencia y acceso a la información con la de protección de datos personales. El texto del proyecto de ley respecto a este punto señalaba: “Crear la Autoridad Nacional de Transparencia, Acceso a la Información Pública que garantice el derecho al acceso oportuno y transparente de la información pública, así como la protección de los datos personales; modificando el marco normativo de la actual Autoridad Nacional de Protección de Datos Personales”.
Por otro lado, el Ministerio de Justicia y Derechos Humanos, el 13 de setiembre publicó la Resolución Ministerial N° 268-2016-JUS mediante el cual se constituye un grupo de trabajo encargado de elaborar un informe técnico que contenga una propuesta normativa para la creación de una Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, que tenga por objeto garantizar la eficacia del derecho fundamental de acceso a la información pública, así como crear un sistema de sanciones para aquellos funcionarios que entorpezcan su entrega o sean renuentes a entregarla.
Es evidente que el mencionado proyecto significará una modificación a la actual Ley de Protección de Datos Personales. Por un lado para crear la autoridad que garantice el efectivo cumplimiento del derecho de acceso a la información pública, pero por el otro para rediseñar una APDP.
A este grupo de trabajo se le encarga un proyecto «enmarcado» bajo el paraguas de un proyecto “esperado” (la autoridad de transparencia) y, de la lectura de la resolución ministerial que lo crea, la autoridad de PDP ya existente tendría dos funciones:
- Registrar los bancos de datos personales en el Registro Nacional de Protección de Datos Personales (una función secundaria en proceso de revisión o supresión en países más avanzados[3]), que es además la obligación que más multas ha ocasionado en el Perú.
- Resolver los procedimientos de tutela de derecho a pedido de la parte afectada (sobre acceso, rectificación, cancelación y oposición de datos personales).
Visto el texto de la resolución, a ese momento nos preocupaba que no aparecieran las demás funciones de la APDP, como la función normativa, orientadora, fiscalizadora y sancionadora, propias de un órgano rector en cualquier materia, y hubiera significado un gran retroceso de cara a Iberoamérica y al resto del mundo; advirtiéndose en consecuencia, evidentemente, la desactivación de las iniciativas, grupos de trabajo y oficialías de cumplimiento que estaban en marcha o en generación por parte de los responsables de tratamiento de datos personales; de forma que se avizoraba un escenario negativo, en el que la protección de la privacidad en el Perú caminaba hacia el ocaso.
Pareciera que el tiempo hizo lo suyo y transcurridas tres semanas de trabajo en el parlamento peruano, el proyecto de ley enviado por el Ejecutivo fue sometido a revisión y debate en las diversas comisiones, entre las que destaca la Comisión de Constitución y Reglamento. Se aprobó un dictamen que sería sometido a votación en el pleno.
En esa coyuntura, algunos profesionales vinculados a la materia hicimos llegar al Congreso nuestras preocupaciones, legítimas y fundadas, respecto al proyecto original. Todo indica que las observaciones sí han sido valoradas, aunque no completamente, por el Congreso y el resultado es muy positivo porque el texto sustitutorio finalmente fue aprobado e incluyó diversas modificaciones en diversos temas al proyecto original.
Con relación al tema que nos ocupa, el texto aprobado señala:
“Artículo 2.-Materia de la delegación de facultades legislativas.
En el marco de la delegación de facultades a la que se refiere el artículo 1 de la presente ley, el Poder Ejecutivo está facultado para:
(…)
3) Legislar en materia de lucha contra la corrupción a fin de:
- a) Crear la Autoridad Nacional de Transparencia y Acceso a la Información Pública, que garantice el derecho al acceso oportuno y transparencia de la información pública, así como la protección de los datos personales; reestructurando y fortaleciendo el marco normativo de la actual Autoridad Nacional de Protección de Datos Personales”.
Con ello, afortunadamente, la labor encomendada al grupo de trabajo mencionado es liberado del marco previamente establecido y tendrá la oportunidad de trabajar en algo distinto que la cuestionable tarea de fortalecer la transparencia y disminuir la protección de datos, ya que si se encarga proyectar el fortalecimiento de la actual APDP, ya no resulta viable la eliminación de las funciones propias del órgano rector ya existente. Tal vez sea viable, a contramano del encargo original, que se explore la eliminación del registro administrativo a la luz de la nueva regulación de protección de datos en la Unión Europea y que se regulen las herramientas legales para que la autoridad haga cumplir sus decisiones a los obligados de manera eficaz.
Finalmente, nos queda esperar el contenido del proyecto normativo del ejecutivo, y corresponde a la comunidad de protección de datos mantenerse vigilando constructivamente que se trabaje para cumplir lo que dijo el Presidente de la República en su primer mensaje: “…en el año del Bicentenario, nuestro país será reconocido en el mundo como una democracia en donde se respetan los derechos humanos, en especial los derechos de las minorías y en donde se cumplen los deberes de los ciudadanos”, porque la protección de los datos personales es un derecho humano, que no quede duda.
[1] Ver las memorias anuales de la APDP
http://www.minjus.gob.pe/vmjdh/contenido/info_gestion/227_informe_anual_2015_dgpdp.pdf
http://www.minjus.gob.pe/vmjdh/contenido/info_gestion/ig_3.pdf
http://www.minjus.gob.pe/vmjdh/contenido/info_gestion/171_resumen_institucional_dgpdp_2013_dvmdh.pdf
[2] Ver http://www.minjus.gob.pe/actividades-institucionales-y-eventos/red-iberoamericana-resalto-labor-de-autoridad-nacional-de-proteccion-de-datos-personales/
[3] El nuevo Reglamento Europeo de Protección de Datos aprobado este año y que entrará en plena vigencia en el 2018, ha eliminado la obligación de la inscripción de las bases de datos.