Columna “Derecho &
Empresa”
“ES MI LEY, NO PIENSE”
Los requerimientos de
la Autoridad Nacional de Protección de Datos Personales
Sheyla Llontop Hurtado
de Mendoza (*)
Desde el año 2011, la Ley 29733 (Ley de Protección de Datos Personales) establece
la obligación de las personas naturales y jurídicas de registrar las bases de
datos que estas posean, referentes a los datos personales de personas
naturales. La citada Ley establece un tiempo para que todos aquellos titulares
de bases de datos cumplan con regularizar su situación, tal como es el registro
de las bases de datos y la implementación de las políticas de seguridad que
permitan otorgarle una protección efectiva a los titulares de esa información.
Actualmente, el plazo para que las empresas puedan regularizar su situación
ya venció, por lo que la Autoridad Nacional de Protección de Datos Personales (en
adelante la Autoridad), se encuentra realizando, ahora con mayor frecuencia,
fiscalizaciones a los establecimientos que estas consideren pertinentes, aplicando
todas las facultades que la Ley le confiere a este organismo, como es el
solicitar y/o realizar una serie de requerimientos que estos crean importantes
para determinar la situación del sujeto obligado.
Cabe resaltar que los requerimientos realizados por esta Autoridad tienen
por finalidad confirmar si efectivamente el titular de la base de datos presta
la seguridad debida a estos datos personales, sin embargo, surge una interrogante
bastante interesante. ¿La Autoridad puede solicitar a su libre albedrío todo
tipo de información? Un ejemplo práctico lo encontramos en aquellos
establecimientos que cuentan con cámaras de seguridad ¿La Autoridad puede
solicitar la ubicación, distancia y demás características sobre las cámaras de
seguridad que el titular de la base de datos tiene instalado dentro de su
establecimiento? ¿No se supone que esta información y demás características de
las cámaras de seguridad sólo deben ser de conocimiento del propio titular de
la base de datos, y/o de las personas autorizadas por esta persona? ¿Qué
necesidad tiene la Autoridad de solicitar este tipo de información? Con este
requerimiento, ¿no se estaría violando los derechos de las personas naturales
de las cuales se tiene los datos personales? ¿No se estaría atentando contra su
derecho a la intimidad personal, derecho al secreto y a la inviolabilidad de
sus documentos privados? ¿Acaso no se vulneraría el Principio a la Seguridad,
el mismo que se encuentra recogido por la Ley Nº 29733, principio del cual dice
ser su defensor?
A todas estas interrogantes, la Autoridad opone una respuesta sencilla...“El
requerimiento es una obligación que el administrado debe cumplir”.
Desde nuestro punto de vista, resulta irrazonable, desproporcional e
ilógico establecer requerimientos absurdos en donde el titular de la base de
datos, evidentemente, expone la seguridad, primero de su establecimiento y aún
más de las personas a las cuales se le custodia su información. Entonces,
¿exponer la seguridad de toda aquella información que estas cámaras de
seguridad resguardan, sólo porque debemos cumplir un requerimiento realizado
por esta Autoridad? Requerimiento que por lo demás es irrelevante para las
funciones asignadas a la Autoridad. ¿Acaso la Autoridad puede ordenar el cambio
de orientación de las cámaras de seguridad, por ejemplo?
Aún más preocupante resulta el hecho de que no se admitan razones,
argumentos razonables y lógicos que explican y prueban que efectivamente con la
remisión de la información requerida se estaría exponiendo información importante
para el sujeto obligado. ¿Acaso la Autoridad es la única que puede y debe
proteger la seguridad de la base de datos personales? Por supuesto que no. Es
más, esta Ley ha sido dictada para revestir de seguridad toda aquella
información perteneciente a personas naturales ¿No puede el titular de la base
de datos establecer argumentos razonables para cuestionar el requerimiento de
la Autoridad? ¿Es la Autoridad un ente “todo poderoso” el cual no puede
equivocarse? ¿Por qué no evaluar y valorar la intención del sujeto obligado de
proteger su base de datos personales? A todo esto: ¿Se le puede llamar
obstrucción a no remitir información, cuando es evidente que su remisión expone
y deja insegura la información contenida en la base de datos?
Resulta ilógico que, sabiendo y conociendo que existen sanciones por
obstruir el proceso de fiscalización, el sujeto obligado se niegue a remitir
información requerida. Sin embargo, ¿se puede considerar que se obstruye el
proceso fiscalizador por informar y argumentar a la Autoridad, de manera
razonable, que el cumplimiento de dicho requerimiento afecta los derechos de la
persona naturales de las cuales se poseen sus datos? ¿Por qué una empresa
querría ser sancionada con multas cuantiosas? ¿Acaso no deben prevalecer los principios
que la misma Ley y la propia Autoridad resguardan?
Numerosas Resoluciones[1]
emitidas por la Autoridad demuestran que esta pretende que los requerimientos
deban ser cumplidos de manera obligatoria, significando esa “obligatoriedad” la
no admisión de argumento, por más razonable que sea, sobre los perjuicios que
puede significar esa remisión de información. Por lo que, teniendo en cuenta el
razonamiento absurdo de la Autoridad, todos los sujetos obligados serán
sancionados cuando no cumplan con remitir a la Autoridad la información que se
requiere, ya que se estará “obstruyendo su función”, lo que demuestra que esta
nueva entidad ha llegado a nuestras vidas para imponer su postura y para hacer
cumplir “la norma” a su antojo, olvidando muchas veces que la norma ha sido
creada para ser cumplida por toda la sociedad, lo cual implica que el propio
sujeto obligado pueda establecer una serie de medidas de seguridad que hagan
efectivo su cumplimiento.
(*) Abogada, Universidad Católica Santo Toribio de Mogrovejo. Montes
Delgado – Abogados SAC.
No hay comentarios:
Publicar un comentario