EXCESOS EN LA FISCALIZACION DE BASES DE DATOS PERSONALES
Daniel Montes Delgado (*)
Como si no fueran ya bastantes las
entidades dispuestas a fiscalizar a las empresas y multarlas por la
inobservancia (o supuesta inobservancia) de las miles de obligaciones que
contiene nuestro abarrotado sistema jurídico, ha aparecido otro ente con la misma
voracidad: la Dirección General de Protección de Datos Personales (DGPDP), del
Ministerio de Justicia. La partida de nacimiento de este nuevo espectro
amenazador es la Ley 29733 o Ley de Protección de Datos Personales,
reglamentada el año pasado mediante el D.S. 003-2013-JUS, entidad que
debidamente organizada y abastecida de funcionarios, se ha empeñado en la
fiscalización de las empresas que supuestamente no están cumpliendo las
obligaciones establecidas en esas normas.
Lo primero a decir es que la DGPDP ha
entendido demasiado generosamente la definición de bases de datos y su alcance,
ya que estas solo tienen relevancia jurídica en cuanto el tratamiento de esos
datos (difusión, transferencia, etc.) pueda afectar derechos fundamentales de
los titulares de esos datos. Pese a ello, la DGPDP entiende que cualquier
archivo de datos es una base de datos, como lo demuestra el material instructivo
que está repartiendo por todo el país, en el cual se puede leer: “una empresa
será la titular del banco de datos que contiene los datos personales de sus
colaboradores o clientes; un empresario será el titular del banco que contiene
los datos personales de sus clientes o proveedores; un hotel será el titular
del banco de datos personales de sus huéspedes, etc.”
El ejemplo del hotel es adecuado, no
cabe duda, en la medida que no estaría bien que un hotel difunda los datos de
sus huéspedes de modo que se haga de conocimiento de terceros quién se alojó en
el hotel, qué día y con quién, eventualmente, ya que eso entra dentro del
ámbito de protección del derecho a la intimidad de las personas. Pero los otros
ejemplos no son correctos por la amplitud innecesaria de sus términos. Si eso
fuera cierto, no habría empresa en el Perú que no estuviera obligada a
registrarse ante la DGPDP como titular de bases de datos personales, ya que
bastaría tener un trabajador, un cliente o un proveedor para que califiquen en
esta definición. Ni siquiera la DGPDP podría darse abasto para registrar y
fiscalizar ese universo de empresas.
En el caso de los trabajadores, el
registro de esos datos por el empleador obedece a mandatos legales, así como se
encuentra regulado su uso para la llamada planilla electrónica. Si resulta que
el empleador hace mal uso de esa información responderá por la vía de las
normas civiles y penales, pero no porque el tratamiento de los datos sea
indebido (que presentar la planilla a SUNAT nunca podría serlo), sino porque en
todo caso se habrá violado el derecho a la intimidad del trabajador, por mucho
que sus datos mal podrían calificarse inmediatamente de sensibles.
Y en el caso de los clientes y
proveedores, el instructivo no ha tenido en cuenta que, conforme al numeral 5
del art. 14 de la Ley, no se requiere del consentimiento del titular de los
datos cuando estos se refieren a información necesaria para celebrar y ejecutar
relaciones contractuales. De otro modo, las empresas tendrían que pedirles
permiso a sus clientes antes de registrar su DNI en los contratos y demás
documentos necesarios, o para dejar registro de sus operaciones en la
contabilidad, lo cual es absurdo.
Pero donde la DGPDP se ha excedido
sobremanera es en el extraño requerimiento que está haciendo a algunas empresas
que tienen bases de datos, para que le presenten un plano detallado de la
ubicación de sus cámaras de seguridad, las características de las mismas y su
alcance, tanto internas como externas, con la excusa de que la ley y el reglamento
la facultan a fiscalizar las medidas de seguridad implementadas por las
empresas para asegurar el acceso restringido a los lugares de almacenamiento o
tratamiento de los datos.
Precisamente, por cuestiones de
seguridad, las empresas no están obligadas a presentar semejante información,
que las pone en riesgo (basta con ver las noticias para ver la cantidad de
información de entidades públicas y privadas que se “vende” en el centro de
Lima a los delincuentes, para darse una idea de lo que este extraño pedido
implica), bastando en todo caso que al momento de la fiscalización el inspector
de la DGPDP constate la existencia de las cámaras y su funcionamiento, o a
falta de ellas, que verifique que las puertas tienen chapa con llave, o que los
empleados que acceden al sistema informático usan una clave para ello, etc.
Definitivamente, la DGPDP necesita
moderarse y entender bien sus funciones y facultades, o de otro modo va a
querer multar a cualquier empresa por no registrarse ante ella (no vamos a
señalar aquí la cuestión de si servirá de algo este registro) cuando no tienen
obligación, o multarla por no “colaborar” con su labor de fiscalización, cuando
lo que piden ya no corresponde a tal facultad, sino a una intromisión indebida
y peligrosa.
(*) Abogado PUCP, MBA Centrum
Católica. Montes Delgado – Abogados SAC.
No hay comentarios:
Publicar un comentario