REGISTRO DE
BASES DE DATOS ANTE EL REGISTRO NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
Sheyla Llontop
Hurtado de Mendoza (*)
Con fecha 3 de julio del 2011 se publicó la Ley 29733 –
Ley de Protección de Datos Personales. Asimismo, su reglamento fue aprobado
mediante el D.S. 003-2013-JUS, con fecha 22 de marzo de 2013.
La Ley en mención va dirigida a regular, tutelar y respaldar los datos personales,
y el uso de ellos, lo cual se encuentra establecido en nuestra Constitución Política
vigente, en su art. 2 en el cual se menciona que “toda persona tiene derecho a que los servicios informáticos, computarizados
o no, públicos o privados, no suministren informaciones que afecten la
intimidad personal y familiar”.
Dentro de las obligaciones establecidas está la de
inscribir los bancos de datos personales ante el Registro Nacional de Protección
de Datos Personales (RNPDP), a cargo del Ministerio de Justicia. Cabe indicar
que la omisión de este registro amerita una infracción calificada como grave la
cual puede traer consigo la imposición de una multa ascendente de hasta 50 UIT,
según lo señalado por el art. 38 de la Ley en mención, suma que nos parece
excesiva y que debiera reservarse a supuestos de mal uso de las bases de datos,
pero no a la falta del registro.
Por su parte, la aplicación de esta ley se encuentra
dirigida a aquellos bancos de datos personales sean públicos o privados, que se
administren dentro el territorio peruano, sin embargo, la norma prevé dos
excepciones a su aplicación: i) a los
bancos de datos personales creados por personas naturales para una actividad
exclusivamente privada o familiar; ii) a los bancos de datos personales de
administración pública creados para el cumplimiento de funciones asignadas por
ley para la defensa nacional, seguridad pública y para el desarrollo de
actividades en materia penal para la investigación y represión del delito.
El titular responsable del banco de datos personales es
la persona jurídica, de derecho público o privado que decide la finalidad y
contenido del mismo, el uso que recibirá
este banco de datos, y sobre todo las medidas se seguridad que se deberán
adoptar con el fin de preservar la información contenida en la base de datos.
En el art. 13 de la ley referida podemos encontrar que el tratamiento de estos datos personales debe realizarse en concordancia con los principios establecidos por esta ley y sobre todo, tratarlos teniendo como base la protección de los derechos humanos (básicamente, derecho a la intimidad). Asimismo, los límites para la protección otorgada sólo pueden ser establecidos por Ley. Dentro del contenido en este artículo podemos resaltar que el tratamiento de los datos personales debe hacerse con autorización previa de su titular, salvo excepción contenida en la ley; además de indicarse de manera clara que este consentimiento deberá tener las características de ser previo, informado, expreso e inequívoco.
Del mismo modo, el artículo 14 de la referida Ley, hace
mención a las limitaciones al consentimiento para el tratamiento de los datos
personales, refiriendo entre estas que: no se requerirá el consentimiento para
el tratamiento de los datos personales en aquellas instituciones sin fines de
lucro, como por ejemplo las de índole religiosa, realizando el tratamiento de
los datos pertenecientes a los miembros de su organismo siempre que guarde
relación con el propósito de sus actividades, debiendo requerir su
consentimiento para su transferencia. Asimismo, no se requerirá consentimiento
para el tratamiento de estos datos cuando los mismos sean necesarios para la
ejecución de una relación contractual en la que el titular de datos personales
sea parte. En materia de salud, la Ley manifiesta que no se requerirá el
consentimiento en los datos referidos a esta materia, siempre que sean
indispensables, en circunstancias de
riesgo, para el diagnóstico o tratamiento del titular, siempre que el
tratamiento sea realizado por un profesional en ciencias de la salud o en
establecimientos de salud, observando el secreto profesional; o para el caso de salud pública; interés
pública previsto por Ley; o para estudios epidemiológicos o análogos.
Lo que nos preocupa es que en los folletos informativos
que está entregando la Dirección del Ministerio de Justicia encarga de este
registro, se señala que las bases de datos a registrarse pueden ser, entre
otras, las planillas de trabajadores, o las listas de clientes de la empresa, o
de proveedores. En cuanto a lo primero, las planillas son ahora electrónicas y
se declaran íntegras a SUNAT y por su intermedio a ESSALUD y ONP, además de las
AFP, de modo que no tiene sentido registrarlas como base de datos. Y en cuanto
a las listas de clientes o proveedores, solo tendría sentido exigir esto si
esas listas contuvieran información confidencial y no así si se trata solo de
información genérica (DNI, RUC, nombres completos). Si las cosas fueran como
dicen esos folletos, entonces no habría empresa en el Perú que quede libre de
la obligación del registro, cosa que nos parece exagerada.
(*) Abogada, Universidad Católica Santo Toribio de
Mogrovejo. Montes Delgado – Abogados SAC.
No hay comentarios:
Publicar un comentario