La aplicación en el tiempo de las disposiciones sobre la protección de datos personales en el Ordenamiento Jurídico peruano: Los efectos del 8 de mayo del 2015

LA APLICACIÓN EN EL TIEMPO DE LAS DISPOSICIONES SOBRE LA PROTECCIÓN DE DATOS PERSONALES EN EL ORDENAMIENTO JURÍDICO PERUANO: LOS EFECTOS DE LA LLEGADA DEL 8 DE MAYO DEL 2015 Milagros Olivos Celis Abogada por la Universidad Católica Santo Toribio de Mogrovejo. Máster en Investigación en Derecho por la Universidad de Zaragoza, España; y máster (c) en Derecho y Empresa por la Universidad Católica Santo Toribio de Mogrovejo, Perú. Con especializaciones en Derecho de la Regulación por la Universidad de Piura y en Derecho Corporativo por la Universidad ESAN. Experta certificada en Protección de Datos Personales por IAITG Institute of Audit & IT Governance.

LA APLICACIÓN EN EL TIEMPO DE LAS DISPOSICIONES SOBRE LA PROTECCIÓN DE DATOS PERSONALES EN EL ORDENAMIENTO JURÍDICO PERUANO: Los efectos de la llegada del 8 de mayo del 2015 RESUMEN: El numeral 6 del artículo 2º de la Constitución Política del Perú de 1993 reconoce el derecho a la privacidad, conocido también como el derecho a la protección de datos personales, o como en su oportunidad lo ha llamado el Tribunal Constitucional, el derecho a la autodeterminación informativa. Los mecanismos para tutelar de este derecho se han desarrollado a través de la Ley Nº 29733, Ley de Protección de Datos Personales (LPDP) y su respectivo reglamento; cuya vigencia se ha ido desarrollando progresivamente desde julio del 2011. A pesar de que los textos normativos describen los supuestos para la vigencia temporal de las disposiciones, esto ha causado algunos problemas de interpretación; ocasionando que hoy -aun cuando la norma tiene varios de años de haberse publicado y determinado su exigibilidad- todavía existan quienes piensen que la ejecución de las obligaciones está suspendida. Estas líneas, buscan encontrar una respuesta lógica, válida y coherente que permita entender el inicio de este gran camino que tiene como objetivo garantizar de manera eficiente del derecho a la protección de datos personales en el Perú.

JUSTIFICACIÓN DE LA REGULACIÓN SOBRE PROTECCIÓN DE DATOS PERSONALES: «Nuestro mundo está fraccionado geográficamente pero fusionado tecnológicamente. Así las cosas, las respuestas del Derecho deben estar a la altura de esta realidad “sociotecnológica”. Son insuficientes los mecanismos jurídicos del siglo XX para dar respuesta sensata a los retos del siglo XXI en materia de protección de datos personales.» Nelson Remolina

SUMARIO: 1. A modo de introducción: un ejemplo que ilustra las reglas sobre la aplicación de las normas en el tiempo. 2. El inicio: La progresiva entrada en vigencia de la Ley de Protección de Datos Personales a partir del 3 de julio del 2011. 3. 120 días después: La publicación del reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. 4. 30 días después de la publicación del reglamento: Obligaciones exigibles y obligaciones no exigibles. 5. El 8 de mayo del 2015: El vencimiento del «plazo de adecuación» 6. A modo de conclusión.

1

A MODO DE INTRODUCCIÓN: Un ejemplo que ilustra las reglas sobre la aplicación de las normas en el tiempo.

Los sistemas jurídicos, propios de cada Estado, reconocen entre sus disposiciones normas que rigen la forma de aplicación de las leyes en el espacio y en el tiempo. Desde mi perspectiva, este es uno de los temas más importantes en la formación académica de un jurista, y aunque la abstracción de su desarrollo conceptual, en varias ocasiones, resulta difícil de entender (considerando que se trata de alumnos que se inician en el mundo de lo jurídico), no existe nada que un buen ejemplo no pueda explicar. Respecto de la aplicación temporal de la norma, es conocido que las leyes se aplican a partir de su entrada en vigencia. Eventualmente, una declaración de voluntad legislativa puede determinar que sus disposiciones rijan retroactivamente, siempre que esto no afecte otras disposiciones preexistentes1. Sobre el particular, la Constitución Política del Perú de 1993 reconoce dos presupuestos fundamentales de aplicación. Por un lado, la última parte del artículo 51º que reconoce la publicidad como elemento esencial para la vigencia de la norma; y por otro, el artículo 109º en el que se señala que una ley es obligatoria desde el día siguiente de su publicación en el Diario Oficial, salvo que la propia ley contenga una disposición contraria que postergue su vigencia en todo o en parte2. En varias ocasiones busqué algún caso concreto que permitiera entender que este tema tenía más importancia de la que a simple vista parecía, pero no lograba encontrar algo que resultara especialmente significativo. Hoy, un tiempo después el ejercicio de la profesión me ha permitido entrar en contacto con una ley que en su momento pudo haber sido de gran utilidad para quienes fueron mis alumnos de Introducción al Derecho, y que ilustra particularmente el supuesto de aplicación temporal de la norma.

Dichos planteamientos son manifestación del principio de aplicación inmediata, en razón del cual se reconoce que las normas rigen a partir del momento en que empieza su vigencia y que carecen de efectos, tanto retroactivos (es decir, antes de dicho momento), como ultra-activos (es decir, con posterioridad a su derogación). Cfr. RUBIO CORREA, Marcial; El sistema jurídico: Introducción al Derecho; Fondo Editorial, Lima, 2006, pp. 326. 2 Algunas referencias adicionales de dichos postulados pueden encontrarse tanto en el artículo 74º de la Constitución que señala: « […] Las leyes relativas a tributos de periodicidad anual rigen a partir del primero de enero del año siguiente a su promulgación. […] »; así como en los numerales 2 y 3 del artículo 3º del Decreto Legislativo Nº 560, Ley del Poder Ejecutivo que ha establecido: « […] 2. Los decretos supremos son normas de carácter general que regulan la actividad sectorial o multisectorial a nivel nacional. Pueden requerir o no de la aprobación del Consejo de Ministros según disponga la Ley. En uno y otro caso son rubricados por el Presidente de la República y refrendados por uno o más ministros, según su naturaleza. Rigen desde el día siguiente de su publicación en el Diario Oficial “El Peruano” salvo disposición expresa. 3. Las resoluciones supremas son normas de carácter específico, rubricadas por el Presidente de la República y refrendadas por el Ministro a cuyo Sector corresponde. Rigen desde el día en que son expedidas, salvo los casos en que requieran notificación o publicación, en cuya virtud rigen una vez cumplido tal requisito. 1

2

Se trata de la Ley Nº 29733, Ley de Protección de Datos Personales que debido a la trascendencia de su contenido y la naturaleza del derecho que tutela, la vigencia de sus disposiciones pone de manifiesto algunos supuestos diferenciados de aplicación temporal, concediendo plazos de adecuación a ciertas obligaciones, por ahora no exigibles; pero que con posterioridad a este 8 de mayo del 2015 serán de cumplimiento obligatorio para aquellos que realizan tratamiento de datos personales contenidos o destinados a ser contenidos en bancos de datos personales, sean éstos de administración pública y/o de privada. El objetivo de este análisis se centra fundamentalmente en encontrar una respuesta lógica, válida y coherente que permita: i) identificar la aplicación temporal, tanto de la LPDP como su reglamento; ii) analizar qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015; y iii) exponer la relevancia del cambio respecto de la privacidad de los ciudadanos.

I. EL INICIO: La progresiva entrada en vigencia de la Ley de Protección de Datos Personales a partir del 3 de julio del 2011. El 3 de julio del 2011 se publicó en el Diario Oficial «El Peruano» la Ley Nº 29733, Ley de Protección de Datos Personales, en cuya duodécima Disposición Complementaria Final3 se regularon los aspectos relacionados a su vigencia. Dicha disposición señalaba: «La presente Ley entra en vigencia conforme a lo siguiente: 1. Las disposiciones previstas en el Título II, en el primer párrafo del artículo 32 y en las primera, segunda, tercera, cuarta, novena y décima disposiciones complementarias finales rigen a partir del día siguiente de la publicación de esta Ley. 2. Las demás disposiciones rigen en el plazo de treinta días hábiles, contado a partir de la publicación del reglamento de la presente Ley.»

Entonces, al aplicar el principio de vigencia inmediata de la norma, que es la regla general en este tema, surge una primera interrogante: Al día siguiente de la publicación de la Ley, es decir el 4 de julio del 2011, ¿qué obligaciones eran exigibles? La primera parte de la 12º DCF señalaba que las obligaciones vigentes al día siguiente de la publicación de la norma eran: - Título II referido al tratamiento de datos personales y el consentimiento, obligaciones sobre el flujo transfronterizo, seguridad en el tratamiento de los datos personales, confidencialidad de los datos personales; - Art. 32º (primer párrafo) referido a la creación de la Autoridad Nacional de Protección de Datos Personales (APDP); - 1º DCF que trata sobre la elaboración del reglamento a través de una comisión presidida por la APDP; - 2º DCF referida a la elaboración de la directiva de seguridad de la información; - 3º DCF que reconoce el plazo de adecuación para los documentos de gestión y del Texto Único de Procedimientos Administrativos del Ministerio de Justicia; - 4º DCF que introduce las modificaciones a las leyes existentes a efectos de su adecuación a la LPDP; En adelante DCF.

3

3

- 9º DCF referido a la no afectación de facultades de la administración tributaria; - 10º DCF sobre el financiamiento. La segunda parte de dicha DCF señalaba que el resto de obligaciones resultarían exigibles, 30 días hábiles después de la publicación del reglamento. Adicional a ello, la 5º DFC de la misma ley precisaba que los bancos de datos personales preexistentes a la vigencia de la norma tenían que esperar el «plazo de adecuación» que sería definido en el reglamento4 (que tenía un periodo de 120 días para elaborarse5), pero sin perjuicio de las obligaciones derivadas del artículo 29º. Surgen entonces, algunas interrogantes. En primer lugar, ¿qué obligaciones contiene este artículo 29º? Fundamentalmente, dicho artículo contiene la obligación de inscribir los Bancos de Datos Personales ante el Registro Nacional de Protección de Datos Personales, señalando su finalidad, identidad, así como el domicilio de su titular o del encargado, de ser el caso6. En segundo lugar ¿desde cuándo era obligatorio el cumplimiento de dicha disposición? Al no encontrarse contenida en ninguna de las referencias de la primera parte de la 12º DFC; su vigencia tendría que esperar los 30 días hábiles posteriores a fecha de la publicación del reglamento7, es decir a partir del 8 de mayo del 2013. Y ¿Todo esto qué significaba? Primero, que una parte de las obligaciones contenidas en la LPDP entraron en vigencia al día siguiente de la publicación de la ley, y las demás entrarían en vigencia 30 días después de la publicación del reglamento. Segundo, que los bancos de datos preexistentes a la vigencia de la ley tendrían un «plazo de adecuación», que sería determinado por el reglamento y contado desde la publicación de éste. Tercero, que era obligación de los ciudadanos (o por lo menos de quienes están relacionados con las cuestiones jurídicas de la actividad empresarial) conocer cuál era el alcance, exigencias y limitaciones de la norma; y, evidentemente, cómo afectaba dicha regulación a las empresas (tanto del sector público, como del sector privado). Más aún cuando ésta norma materializaba uno de los derechos fundamentales contenidos en la Constitución Política del Perú de 1993, el derecho a la privacidad. (Art. 2 inc. 6 de la CPP)8. 5º DFC de la LPDP.- «Los bancos de datos personales creados con anterioridad a la presente Ley y sus respectivos reglamentos deben adecuarse a esta norma dentro del plazo que establezca el reglamento. Sin perjuicio de ello, sus titulares deben declararlos ante la Autoridad Nacional de Protección de Datos Personales, con sujeción a lo dispuesto en el artículo 29.» 5 Cfr. 1º DFC de la LPDP. 6 Literalmente, el referido artículo señala: «La creación, modificación o cancelación de bancos de datos personales de administración pública y de administración privada se sujetan a lo que establezca el reglamento, salvo la existencia de disposiciones especiales contenidas en otras leyes. En todo caso, se garantiza la publicidad sobre su existencia, finalidad, identidad y el domicilio de su titular y, de ser el caso, de su encargado.». 7 Según lo disponía el numeral 2 de la 12º DFC. 8 Denominado por el Tribunal Constitucional como «derecho a la autodeterminación informativa». El Tribunal Constitucional definió este derecho en su sentencia de fecha 29 de enero de 2003 en el Expediente Nº 17972002-HD/TC, en el marco de un proceso de hábeas data. 4

4

Hasta aquí, es posible esquematizar lo antes referido de la siguiente manera: Gráfico 1: Aplicación temporal de la LPDP (Parte I) Vigencias de las primeras obligaciones

Vigencia de las demás obligaciones

(Principio de aplicación inmediata)

Tratamiento de datos personales y el consentimiento, flujo transfronterizo, seguridad en el tratamiento de los datos personales, confidencialidad de los datos personales; creación de la APDP; elaboración del reglamento; elaboración de la directiva de seguridad de la información; adecuación de procedimientos delMinisterio de Justicia; modificaciones a las leyes existentes a efectos de su adecuación a la LPDP; las facultades de la administración tributaria; el financiamiento.

(Principio de aplicación inmediata)

3 de julio del 2011 + 120 días hábiles

4 de julio del 2011

3 de julio del 2011

Publicación de la LPDP

El resto de obligaciones de la LPDP tendría que esperar 30 días contados desde la publicación del Reglamento.

2. 120 DÍAS DESPUÉS: La elaboración del reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. Tal como lo ordenaba la 1º DCF de la Ley, para la elaboración del reglamento se constituyó una comisión multisectorial presidida por la APDP, la cual tuvo un plazo de 120 días hábiles para concluir su encargo9. El 22 de marzo del 2013 el Diario Oficial «El Peruano» publicó el Decreto Supremo Nº 0032013 mediante el cual se aprobaba el reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. El artículo 3º de dicho Decreto Supremo señalaba que la vigencia del reglamento sería treinta (30) días hábiles posteriores a su fecha de publicación, es decir el 8 de mayo del 2013. Esto implicaba también que en esa misma fecha se activarían las disposiciones de la LPDP que esperaban la reglamentación10. No obstante, el reglamento también tenía sus propias disposiciones para la vigencia de algunas obligaciones. En primer lugar señalaba que el «plazo de adecuación» para los bancos de datos personales preexistentes a la vigencia de la norma era de dos (2) años, sin perjuicio – claro

1º DCF de la LPDP.- Para la elaboración del proyecto de reglamento, se constituye una comisión multisectorial, la que es presidida por la Autoridad Nacional de Protección de Datos Personales. El proyecto de reglamento es elaborado en un plazo máximo de ciento veinte días hábiles, a partir de la instalación de la comisión multisectorial, lo que debe ocurrir en un plazo no mayor de quince días hábiles, contado a partir del día siguiente de la publicación de la presente Ley. 10 El segundo numeral de la 12º DFC señalaba que las disposiciones de la LPDP (no especificadas en el numeral 1) regirían en el plazo de treinta días hábiles, contado a partir de la publicación del reglamento de la Ley. 9

5

está – de la obligación de registro contenida en el artículo 29º de la ley11. Y en segundo lugar precisaba que la facultad sancionadora de la Dirección General de Protección de Datos Personales, en relación a los bancos de datos personales preexistentes a la vigencia del reglamento estaba suspendida hasta el vencimiento del plazo de adecuación de los dos (2) años concedido por el mismo reglamento12. Entonces, ¿qué sucedería con las demás facultades de la APDP y el resto de disposiciones del reglamento? El artículo 3º del Decreto Supremo que aprueba el reglamento señalaba que éste en su conjunto entraba en vigencia 30 días después de su publicación, siendo la única salvedad la vigencia de la 1º DCF que contenía el «plazo de adecuación» antes señalado. Gráfico 2: Aplicación Temporal de la LPDP (PARTE II)

(Aplicación suspendida)

Vigencia del Reglamento (Principio de aplicación diferida) Artículo 3º del Decreto Supremo Nº 003-2013 mediante el cual se aprobaba el Reglamento.

8 de mayo de 2015

Vigencia de las disposiciones de la LPDP que esperaban reglamentación.

22 de marzo de 2013 + 30 días hábiles = 8 de mayo de 2013

22 de marzo de 2013

Publicación del Reglamento

Vigencia de las obligaciones respecto de los bancos de datos personales preexistentes a la vigencia de la norma. Plazo de adecuación: 2 años, contados desde la vigencia del reglamento.

3. 30 DÍAS DESPUÉS: Obligaciones exigibles y no exigibles con posterioridad al 8 de mayo del 2013 Para determinar la exigibilidad de las obligaciones contenidas tanto en la LPDP como en su reglamento, probablemente las líneas antes descritas no aporten ninguna novedad, pues no se ha hecho más que describir cómo la Ley y el reglamento han dispuesto una vigencia progresiva de las exigencias de la norma; poniendo de manifiesto la aplicación del principio de vigencia inmediata.

1º DC del reglamento.- Adecuación de bancos de datos personales. En el plazo de dos (2) años de la entrada en vigencia del presente reglamento, los bancos de datos personales existentes, deben adecuarse a lo establecido por la Ley y el presente reglamento, sin perjuicio de la inscripción a que se refiere la 5º DCF de la Ley Nº 29733, Ley de Protección de Datos Personales. 12 2º DC del reglamento.- Facultad sancionadora. La facultad sancionadora de la Dirección General de Protección de Datos Personales, en relación a los bancos de datos personales existentes a la fecha de la entrada en vigencia del presente reglamento, queda suspendida hasta el vencimiento del plazo de adecuación establecido en la Primera Disposición Complementaria Transitoria. 11

6

Sin embargo, para conocer con mayor precisión qué sucederá este cercano 8 de mayo, es necesario conocer, aunque de manera global, cuáles son las obligaciones que esta normativa ha previsto. Del análisis de la estructura lógica de la LPDP, sus obligaciones válidamente pueden encuadrarse en dos grandes grupos. Por una parte, aquellas referidas a los «bancos de datos personales13» entendidos como contenedores de la información personal; y por otra, aquellas relacionadas con el «tratamiento de los datos14» referida a la acción propia del titular, encargado y/o quien resulte responsable. Entonces, de modo muy general las obligaciones identificadas son las siguientes: Gráfico 3: Obligaciones derivadas de la LPDP y el reglamento Tratamiento de datos personales -

-

-

Hacer tratamiento previo consentimiento del titular de los datos. Permitir el ejercicio de los derechos de los titulares de los datos (Derecho de información, acceso, actualización, inclusión, rectificación y supresión, impedir el suministro, oposición, tratamiento objetivo y tutela). Respetar los principios: Legalidad, consentimiento, finalidad, proporcionalidad, calidad, seguridad, disposición de recurso, protección adecuada. Garantizar la protección de la información en las trasferencias nacionales y/o internacionales, implementando las medidas de seguridad que correspondan.

Bancos de datos personales -

-

Inscribir el Banco de Datos ante el Registro Nacional de Protección de Datos Personales. Modificar y/o cancelar los Bancos de Datos inscritos, de ser el caso. Disponer de las medidas de seguridad necesarias para la custodia de la información.

Con mayor precisión, el artículo 28º de la Ley recoge las obligaciones del titular y del encargado del banco de datos personales15 detallando lo siguiente: «El titular y el encargado del banco de datos personales, según sea el caso, tienen las siguientes obligaciones:

El numeral 17 del artículo 3º de la LPDP señala que el tratamiento es: «Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.» 14 El numeral 1 del artículo 3º de la LPDP señala que un banco de datos personales es aquel «Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.» 15 Cfr. Art. 28º de la LPDP. 13

7

1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley. 2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos. 3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido. 4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación. 5. Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular. 6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto. 7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación. 8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada. 9. Otras establecidas en esta Ley y en su reglamento.»

Como resulta lógico en la técnica legislativa, el último numeral del artículo emplea una cláusula genérica para referirse al resto de obligaciones y exigencias contenidas tanto en la LPDP como en su reglamento. Estas obligaciones pueden extraerse fácilmente de la lectura de las normas.

4. EL 8 DE MAYO DEL 2015: El vencimiento del «plazo de adecuación» De lo antes descrito se deriva la pregunta principal de este artículo ¿Qué sucederá el 8 de mayo del 2015? Por un lado, habrá vencido el «plazo de adecuación» para los bancos de datos personales creados con anterioridad a la vigencia de la norma, es decir, antes del 8 de mayo del 2013; y por otro, con el vencimiento de dicho plazo también entrará en vigencia la facultad sancionadora de la APDP respecto estos bancos de datos. La diferenciación planteada anteriormente sobre las obligaciones respecto de los bancos de datos personales como contenedor de la información personal, y del tratamiento de los datos personales como acción propia del titular, encargado y/o responsable, explicaría también el sentido de la 5º DFC de la Ley y la 1º DC del reglamento referidas al «plazo de adecuación»; entendiéndose que aquello que se encontraba suspendido eran las obligaciones respecto de los bancos de datos personales preexistentes a la vigencia de la norma, y que el reglamento determinó el periodo de dos (2) años; más no las obligaciones generadas por el tratamiento de la información personal. Entonces surge otra interrogante más: ¿Cuáles son las obligaciones de los bancos de datos personales creados con anterioridad a la vigencia de la norma? Hasta este análisis se han logrado determinar tres obligaciones concretas: 1. Inscribir el Banco de Datos ante el Registro Nacional de Protección de Datos Personales. 2. Modificar y/o cancelar los Bancos

8

de Datos inscritos, de ser el caso. 3. Disponer de las medidas de seguridad necesarias para la custodia de la información. Las dos primeras obligaciones se encuentran estrechamente vinculadas, por lo que es concretamente la tercera la que entrará en vigencia después del 8 de mayo del 2015 y comenzará a ser exigible por parte de la Autoridad Nacional de Protección de Datos Personales, la APDP.

A MODO DE CONCLUSIÓN: En nuestros días la información personal, independientemente de su forma de representación, tiene una importancia vital en la mayoría de las actividades; de manera tal que puede reconocérsele como un «activo» que aporta a la organización innumerables ventajas. Quien no crea en esta afirmación está invitado a hacer unas pruebas muy simples en su empresa y dejar de utilizar por unos momentos la información personal de sus usuarios. A pesar de la trascendencia que esto tiene, desde la entrada en vigencia de la Ley (el 3 de julio del 2011) y del reglamento (a partir del 8 de mayo del 2013) se han presentado innumerables cuestionamientos desde los diversos sectores económicos. En algunos casos, incluso se ha llegado reclamar por el excesivo costo que generaría a las empresas la implementación de una ley de esta naturaleza, considerando que actualmente nuestro país está buscando reactivarse económicamente. Sin embargo, se ha olvidado que para un Estado de Derecho como el nuestro, resulta altamente cuestionable que la garantía de un derecho fundamental, reconocido en sede constitucional, dependa de la valorización económica que pueda hacer un empresario Al inicio de este análisis se plantearon tres objetivos: i) identificar la aplicación temporal, tanto de la LPDP como su reglamento; ii) analizar qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015; y iii) exponer la relevancia del cambio sobre de la privacidad de los ciudadanos.

9

Respecto de la aplicación temporal de las obligaciones contenidas tanto en la LPDP como en el reglamento.- La normativa sobre la protección de datos personales (tanto la LPDP como su reglamento) se ha enfocado en dos ámbitos de actuación. Por una parte, están las obligaciones relacionadas con el banco de datos personales; y por otro aquellas vinculadas al tratamiento de la información personal. En uno y otro caso, aplicando los principios de aplicación temporal de la norma (aplicación inmediata y aplicación diferida por potestad legislativa) se evidencia que existe un grupo de obligaciones que estuvieron vigentes al día siguiente de la publicación de la ley; otras que se volvieron exigibles 30 días hábiles posteriores a la publicación del reglamento; y otras que quedaron sujetas al plazo de adecuación de señaló el mismo reglamento. En este último caso, la 1º DC del reglamento se refiere a las obligaciones relacionadas con los bancos de datos personales preexistentes a la vigencia de la LPDP, sin perjuicio de la obligación de registro contenida en el artículo 29º de la propia ley.

Respecto de lo qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015.- Este 8 de mayo el Perú habrá consolidado su primer paso para solidificar su camino hacia una garantía concreta del derecho fundamental a la protección de datos personales, previsto como tal en el numeral 6 del artículo 2º de la Carta Fundamental; y es tarea de todos conocer y reconocer qué derechos y obligaciones se generan como consecuencia de esta nueva regulación. Además, el plazo de adecuación para aquellos bancos de datos personales preexistentes a la vigencia de la ley habrá terminado, por lo que todas las obligaciones contenidas tanto en la LPDP como en el reglamento (las relacionadas tanto con el banco de datos como con el tratamiento de los datos) serán de cumplimiento obligatorio, acarreando la apertura del procedimiento sancionador y las correspondientes sanciones (multas). Respecto de la relevancia del cambio sobre la privacidad de los ciudadanos.- Hace bastante tiempo, los países del mundo evidenciaron que el tratamiento de los datos personales y el tráfico de los mismos, destruye el sistema de derechos fundamentales, y hace vulnerables a las personas en su día a día. La regulación que respecto de la protección de datos personales se ha desarrollado en el Perú desde el 2011 importa no solo la existencia de una nueva regulación con exigencias adicionales para las empresas y/o personas naturales que realicen tratamiento de información personales, sino que además busca un cambio de paradigma en los temas de privacidad. Con este reconocimiento no solo se fortalece un derecho constitucionalmente reconocido, sino que además se materializa un derecho indispensable para esta nueva era de la tecnología y la informática, propia del siglo XXI.

10