La vigencia de las disposiciones sobre la protección de datos personales en el ordenamiento jurídico peruano:

LA VIGENCIA DE LAS DISPOSICIONES SOBRE LA PROTECCIÓN DE DATOS PERSONALES EN EL ORDENAMIENTO JURÍDICO PERUANO: Los efectos del 8 de mayo del 2015 Milagros Olivos Celis Abogada por la Universidad Católica Santo Toribio de Mogrovejo. Máster en Investigación en Derecho por la Universidad de Zaragoza, España; y máster (c) en Derecho y Empresa por la Universidad Católica Santo Toribio de Mogrovejo, Perú. Con especializaciones en Derecho de la Regulación por la Universidad de Piura y en Derecho Corporativo por la Universidad ESAN. Experta certificada en Protección de Datos Personales por IAITG Institute of Audit & IT Governance.

LA VIGENCIA DE LAS DISPOSICIONES SOBRE LA PROTECCIÓN DE DATOS PERSONALES EN EL ORDENAMIENTO JURÍDICO PERUANO: Los efectos del 8 de mayo del 2015 RESUMEN: El artículo 2.6 de la Constitución Política del Perú de 1993 reconoce como un derecho fundamental la protección de datos personales. Los mecanismos de tutela de este derecho se han desarrollado a través de la Ley Nº 29733, Ley de Protección de Datos Personales (LPDP) y de su respectivo reglamento, cuya vigencia empezó desde julio del 2011. A pesar de que en ambos textos normativos se describe la forma de entrada en vigencia de las disposiciones, la exigibilidad de las obligaciones ha causado algunos problemas interpretativos; ocasionando que hoy -aun cuando la norma tiene varios de años de haberse publicado y determinado su exigibilidad- todavía existan quienes piensen que la ejecución de las obligaciones está suspendida. Más aun, cuando por disposición de la ley, el reglamento definió un «plazo de adecuación» de dos (2) años para aquellos bancos de datos preexistentes a la vigencia de la norma, y cuya fecha de vencimiento será este 8 de mayo del 2015. Estas líneas buscan encontrar una respuesta lógica, válida y coherente que permita entender el inicio del camino que tiene como objetivo garantizar de manera eficiente del derecho a la protección de datos personales en el Perú.

LA NECESIDAD DE UNA REGULACIÓN SOBRE PROTECCIÓN DE DATOS PERSONALES: «Nuestro mundo está fraccionado geográficamente pero fusionado tecnológicamente. Así las cosas, las respuestas del Derecho deben estar a la altura de esta realidad “socio-tecnológica”. Son insuficientes los mecanismos jurídicos del siglo XX para dar respuesta sensata a los retos del siglo XXI en materia de protección de datos personales.» Nelson Remolina

SUMARIO: A MODO DE INTRODUCCIÓN: Las normas sobre la protección de datos personales, un ejemplo que ilustra las reglas para la aplicación de las normas en el tiempo. I. El derecho a la protección de datos personales y las obligaciones derivadas de la normatividad vigente. II. EL INICIO: La progresiva vigencia de la Ley de Protección de Datos Personales a partir del 3 de julio del 2011. III. 120 DÍAS DESPUÉS DE LA PUBLICACIÓN DE LA LPDP: La publicación del reglamento de la Ley Nº 29733. IV. 30 DÍAS HÁBILES POSTERIORES A LA PUBLICACIÓN DEL REGLAMENTO. V. EL 8 DE MAYO DEL 2015: El vencimiento del «plazo de adecuación». A MODO DE CONCLUSIÓN.

1

A MODO DE INTRODUCCIÓN: Las normas sobre la protección de datos personales, un ejemplo que ilustra las reglas para la aplicación de las normas en el tiempo

Los sistemas jurídicos propios de cada Estado reconocen entre sus disposiciones normas que rigen la forma de aplicación de las leyes en el espacio y en el tiempo. Desde mi perspectiva, este es uno de los temas más importantes en la formación académica de un jurista, y aunque la abstracción de su desarrollo conceptual, en ocasiones, es difícil entender; no existe nada que un buen ejemplo no ilustrar. Respecto de la aplicación temporal, como regla general se reconoce que las leyes rigen al día siguiente de su publicación, aunque eventualmente una declaración de voluntad legislativa, siempre que no afecte otras disposiciones preexistentes, puede determinar lo contrario. Sobre el particular, la Constitución Política del Perú de 1993 reconoce dos presupuestos fundamentales de aplicación. Por un lado, la última parte del artículo 51º que señala que la publicidad es un elemento esencial para la vigencia de la norma; y por otro, el artículo 109º en el que se precisa que una ley es obligatoria desde el día siguiente de su publicación en el Diario Oficial, salvo que la propia ley contenga una disposición contraria que postergue su vigencia en todo o en parte1. Estos planteamientos responden al reconocimiento del principio de aplicación inmediata y el principio de aplicación diferida, en razón de los cuales se reconoce como regla general, que las normas rigen al día siguiente de su publicación, careciendo tanto de efectos retroactivos (es decir, antes de dicho momento) como de efectos ultra-activos (es decir, con posterioridad a su derogación)2; y como excepción, que por voluntad legislativa la vigencia de la norma sea postergada. En varias ocasiones busqué algún caso concreto que permitiera entender que este tema tenía más importancia de la que a simple vista parecía, pero no lograba encontrar algo que resultara especialmente significativo.

Algunas referencias adicionales de dichos postulados pueden encontrarse tanto en el artículo 74º de la Constitución que señala: « […] Las leyes relativas a tributos de periodicidad anual rigen a partir del primero de enero del año siguiente a su promulgación. […] »; así como en los numerales 2 y 3 del artículo 3º del Decreto Legislativo Nº 560, Ley del Poder Ejecutivo que ha establecido: « […] 2. Los decretos supremos son normas de carácter general que regulan la actividad sectorial o multisectorial a nivel nacional. Pueden requerir o no de la aprobación del Consejo de Ministros según disponga la Ley. En uno y otro caso son rubricados por el Presidente de la República y refrendados por uno o más ministros, según su naturaleza. Rigen desde el día siguiente de su publicación en el Diario Oficial “El Peruano” salvo disposición expresa. 3. Las resoluciones supremas son normas de carácter específico, rubricadas por el Presidente de la República y refrendadas por el Ministro a cuyo Sector corresponde. Rigen desde el día en que son expedidas, salvo los casos en que requieran notificación o publicación, en cuya virtud rigen una vez cumplido tal requisito. 2 Cfr. RUBIO CORREA, Marcial; El sistema jurídico: Introducción al Derecho; Fondo Editorial, Lima, 2006, p. 326. 1

2

Hoy, el ejercicio de la profesión me ha permitido entrar en contacto con una ley que ilustra particularmente estos supuestos, pero que debido a la técnica legislativa ha generado algunos contratiempos interpretativos. Se trata de la Ley Nº 29733, Ley de Protección de Datos Personales que debido a la trascendencia de su contenido y la naturaleza del derecho que tutela, la vigencia de sus disposiciones ha puesto de manifiesto algunos supuestos diferenciados de aplicación temporal, concediendo incluso plazos de adecuación a ciertas obligaciones, por ahora no exigibles; pero que con posterioridad al 8 de mayo del 2015 serán de cumplimiento obligatorio. El objetivo de este análisis se centra fundamentalmente en encontrar un argumento lógico, válido y coherente que permita: i) identificar la aplicación temporal, tanto de la LPDP como su reglamento; ii) analizar qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015; y iii) exponer la relevancia del cambio respecto de la privacidad de los ciudadanos.

I. El derecho a la protección de datos personales y las obligaciones derivadas de la normatividad vigente. El artículo 2.6 de la Constitución reconoce que toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar3. La Ley de Protección de Datos Personales 4 tiene por objeto garantizar este derecho a través de un adecuado tratamiento que respete además el resto de los derechos fundamentales5. Tanto la LPDP como el reglamento reconocen varias obligaciones y principios básicos sobre los cuales se articula la protección de los datos personales. En ese sentido, antes de determinar la exigibilidad de las obligaciones es necesario conocer primero cuáles son dichas exigencias6. A nivel jurisprudencial, el Tribunal Constitucional peruano ha reconocido que este derecho, denominado por la doctrina «derecho a la autodeterminación informativa», tiene por objeto proteger la intimidad personal o familiar, la imagen y la identidad frente al peligro que representa el uso y la eventual manipulación de los datos a través de los ordenadores electrónicos. Cfr. Expediente Nº 1797-2002-HD/TC, FJ 3. 4 En adelante LPDP. 5 Al mismo tiempo el artículo 200.3 de la Constitución ha previsto como garantía constitucional el hábeas data para proteger los derechos reconocidos en los incisos 5), derecho de acceso a la información pública, y 6) derecho a la protección de datos personales, del artículo 2º de la Carta fundamental. 6 Como referencia general conviene citar al Tribunal Constitucional español que mediante STC 292/2000, de 30 de noviembre de 2000 ha señalado que el contenido del derecho fundamental a la protección de datos. En este sentido ha precisado: « 7. […] consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, 3

3

Del análisis de la estructura lógica del contenido de la LPDP, sus obligaciones válidamente pueden encuadrarse en dos grandes grupos. Por una parte, aquellas referidas a los «bancos de datos personales 7 » entendidos como contenedores de la información personal; y por otra, aquellas relacionadas con el «tratamiento de los datos8» referida a la acción propia del titular, encargado y/o quien resulte responsable. Entonces, de manera general pueden identificadas las siguientes obligaciones: Gráfico 1: Obligaciones derivadas de la LPDP y del reglamento Tratamiento de datos personales -

-

-

Hacer tratamiento previo consentimiento del titular de los datos. Permitir el ejercicio de los derechos de los titulares de los datos (Derecho de información, acceso, actualización, inclusión, rectificación y supresión, impedir el suministro, oposición, tratamiento objetivo y tutela). Respetar los principios: Legalidad, consentimiento, finalidad, proporcionalidad, calidad, seguridad, disposición de recurso, protección adecuada. Garantizar la protección de la información en las trasferencias nacionales y/o internacionales, implementando las medidas de seguridad que correspondan.

Bancos de datos personales -

-

Inscribir el Banco de Datos ante el Registro Nacional de Protección de Datos Personales. Modificar y/o cancelar los Bancos de Datos inscritos, de ser el caso. Disponer de las medidas de seguridad necesarias para la custodia de la información.

Con mayor precisión, el artículo 28º de la Ley recoge las obligaciones del titular y del encargado del banco de datos personales9 detallando lo siguiente: «El titular y el encargado del banco de datos personales, según sea el caso, tienen las siguientes obligaciones:

4

informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos». Cfr. STC 292/2000, de 30 de noviembre de 2000. FJ 7. 7 El numeral 17 del artículo 3º de la LPDP señala que el tratamiento es: «Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.» 8 El numeral 1 del artículo 3º de la LPDP señala que un banco de datos personales es aquel «Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.» 9 Cfr. Art. 28º de la LPDP.

1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley. 2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos. 3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido. 4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación. 5. Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular. 6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto. 7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación. 8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada. 9. Otras establecidas en esta Ley y en su reglamento.»

Como resulta lógico en la técnica legislativa, el último numeral del artículo emplea una cláusula genérica para referirse al resto de obligaciones y exigencias contenidas tanto en la LPDP como en su reglamento. Estas obligaciones pueden extraerse fácilmente de la lectura de las normas. Ahora bien, teniendo claro que existen obligaciones relacionadas al tratamiento de datos personales, así como otras relacionadas con los propios bancos de datos; conviene analizar la forma como se desarrolló la vigencia e implementación, tanto de la LPDP como del reglamento.

II. EL INICIO: La progresiva entrada en vigencia de la Ley de Protección de Datos Personales a partir del 3 de julio del 2011. El 3 de julio del 2011 se publicó en el Diario Oficial «El Peruano» la Ley Nº 29733, Ley de Protección de Datos Personales, en cuya 12º Disposición Complementaria Final 10 se regularon los aspectos relacionados a su vigencia11. Entonces, surge una primera interrogante: Si tal como se ha puesto de manifiesto son varias las obligaciones reconocidas por la LPDP, al día siguiente de la publicación de la Ley ¿qué obligaciones eran exigibles? Tal como puede leerse del texto de la norma, la primera parte de la 12º DCF señalaba que las obligaciones vigentes al día siguiente de la publicación de la norma eran: En adelante DCF. Dicha disposición señalaba: «La presente Ley entra en vigencia conforme a lo siguiente: 1. Las disposiciones previstas en el Título II, en el primer párrafo del artículo 32 y en las primera, segunda, tercera, cuarta, novena y décima disposiciones complementarias finales rigen a partir del día siguiente de la publicación de esta Ley. 2. Las demás disposiciones rigen en el plazo de treinta días hábiles, contado a partir de la publicación del reglamento de la presente Ley.» 10

11

5

- Título II referido al tratamiento de datos personales y el consentimiento, obligaciones sobre el flujo transfronterizo, seguridad en el tratamiento de los datos personales, confidencialidad de los datos personales; - Art. 32º (primer párrafo) referido a la creación de la Autoridad Nacional de Protección de Datos Personales (APDP); - 1º DCF que trata sobre la elaboración del reglamento a través de una comisión presidida por la APDP; - 2º DCF referida a la elaboración de la directiva de seguridad de la información; - 3º DCF que reconoce el plazo de adecuación para los documentos de gestión y del Texto Único de Procedimientos Administrativos del Ministerio de Justicia; - 4º DCF que introduce las modificaciones a las leyes existentes a efectos de su adecuación a la LPDP; - 9º DCF referido a la no afectación de facultades de la administración tributaria; - 10º DCF sobre el financiamiento. Por su parte, en el segundo numeral de dicha disposición se precisaba que el resto de obligaciones resultarían exigibles 30 días hábiles después de la publicación del reglamento. Adicional a ello, la 5º DFC de la misma LPDP precisaba que los bancos de datos personales preexistentes a la vigencia de la norma tenían que esperar el «plazo de adecuación» que sería definido en el reglamento12 (el cual tenía un periodo de 120 días para elaborarse13), sin perjuicio de las obligaciones derivadas del artículo 29º. Inmediatamente surgen entonces otras interrogantes. En primer lugar, ¿qué obligaciones contiene este artículo 29º; y desde cuándo era obligatorio el cumplimiento de dicha disposición? Fundamentalmente, dicho artículo 29º contiene la obligación de inscribir los Bancos de Datos Personales ante el Registro Nacional de Protección de Datos Personales, señalando su finalidad, identidad, así como el domicilio de su titular o del encargado, de ser el caso14. Ahora, al no encontrarse contenida en ninguna de las referencias de la primera parte de la 12º DFC; su vigencia tendría que esperar los 30 días hábiles posteriores a fecha de la publicación del reglamento15, es decir a partir del 8 de mayo del 2013. Y ¿Todo esto qué significaba? Primero, que una parte de las obligaciones contenidas en la LPDP entraron en vigencia al día siguiente de la publicación de la ley, y las demás entrarían en vigencia 30 días después 5º DFC de la LPDP.- «Los bancos de datos personales creados con anterioridad a la presente Ley y sus respectivos reglamentos deben adecuarse a esta norma dentro del plazo que establezca el reglamento. Sin perjuicio de ello, sus titulares deben declararlos ante la Autoridad Nacional de Protección de Datos Personales, con sujeción a lo dispuesto en el artículo 29.» 13 Cfr. 1º DFC de la LPDP. 14 Literalmente, el referido artículo señala: «La creación, modificación o cancelación de bancos de datos personales de administración pública y de administración privada se sujetan a lo que establezca el reglamento, salvo la existencia de disposiciones especiales contenidas en otras leyes. En todo caso, se garantiza la publicidad sobre su existencia, finalidad, identidad y el domicilio de su titular y, de ser el caso, de su encargado.». 15 Según lo disponía el numeral 2 de la 12º DFC. 12

6

de la publicación del reglamento. Segundo, que los bancos de datos preexistentes a la vigencia de la ley tendrían un «plazo de adecuación», que sería determinado por el reglamento y contado desde la publicación de éste. Tercero, que era obligación de los ciudadanos (o por lo menos de quienes están relacionados con las cuestiones jurídicas de la actividad empresarial) conocer cuál era el alcance, exigencias y limitaciones de la norma; y, evidentemente, cómo afectaba dicha regulación a las empresas (tanto del sector público, como del sector privado). Más aún cuando ésta norma materializaba uno de los derechos fundamentales contenidos en la Constitución Política del Perú de 1993, el derecho a la privacidad. (Art. 2 inc. 6 de la CPP)16. Hasta aquí, es posible esquematizar lo antes referido de la siguiente manera:

Gráfico 2: Aplicación temporal de la LPDP (Parte I) Vigencias de las primeras obligaciones

Vigencia de las demás obligaciones

(Principio de aplicación inmediata)

Tratamiento de datos personales y el consentimiento, flujo transfronterizo, seguridad en el tratamiento de los datos personales, confidencialidad de los datos personales; creación de la APDP; elaboración del reglamento; elaboración de la directiva de seguridad de la información; adecuación de procedimientos delMinisterio de Justicia; modificaciones a las leyes existentes a efectos de su adecuación a la LPDP; las facultades de la administración tributaria; el financiamiento.

(Principio de aplicación inmediata)

3 de julio del 2011 + 120 días hábiles

4 de julio del 2011

3 de julio del 2011

Publicación de la LPDP

El resto de obligaciones de la LPDP tendría que esperar 30 días contados desde la publicación del Reglamento.

III. 120 DÍAS DESPUÉS: La elaboración del reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. Tal como lo ordenaba la 1º DCF de la LPDP, para la elaboración del reglamento se constituyó una comisión multisectorial presidida por la APDP, la cual tuvo un plazo de 120 días hábiles para concluir su encargo17. El 22 de marzo del 2013 el Diario Oficial «El Peruano» publicó el Decreto Supremo Nº 0032013 mediante el cual se aprobaba el reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. El artículo 3º de dicho Decreto Supremo señalaba que la vigencia del Denominado por el Tribunal Constitucional como «derecho a la autodeterminación informativa». El Tribunal Constitucional definió este derecho en su sentencia de fecha 29 de enero de 2003 en el Expediente Nº 17972002-HD/TC, en el marco de un proceso de hábeas data. 17 1º DCF de la LPDP.- Para la elaboración del proyecto de reglamento, se constituye una comisión multisectorial, la que es presidida por la Autoridad Nacional de Protección de Datos Personales. El proyecto de reglamento es elaborado en un plazo máximo de ciento veinte días hábiles, a partir de la instalación de la comisión multisectorial, lo que debe ocurrir en un plazo no mayor de quince días hábiles, contado a partir del día siguiente de la publicación de la presente Ley. 16

7

reglamento sería treinta (30) días hábiles posteriores a su fecha de publicación, es decir el 8 de mayo del 2013. Esto implicaba también que en esa misma fecha se activarían las disposiciones de la LPDP que esperaban la reglamentación18. No obstante, el reglamento también tenía sus propias disposiciones para la vigencia de algunas obligaciones. En primer lugar señalaba que el «plazo de adecuación» para los bancos de datos personales preexistentes a la vigencia de la norma era de dos (2) años, sin perjuicio – claro está – de la obligación de registro contenida en el artículo 29º de la ley19. Y en segundo lugar precisaba que la facultad sancionadora de la Dirección General de Protección de Datos Personales, en relación a los bancos de datos personales preexistentes a la vigencia del reglamento estaba suspendida hasta el vencimiento del plazo de adecuación de los dos (2) años concedido por el mismo reglamento20. Y ¿qué sucedería con las demás facultades de la APDP y el resto de disposiciones del reglamento? El artículo 3º del Decreto Supremo que aprueba el reglamento señalaba que éste en su conjunto entraba en vigencia 30 días después de su publicación; por lo que debería interpretarse que la única salvedad era el «plazo de adecuación» contenido en la 1º DCF. Gráfico 3: Aplicación Temporal de la LPDP (PARTE II)

(Aplicación suspendida)

Vigencia del Reglamento (Principio de aplicación diferida) Artículo 3º del Decreto Supremo Nº 003-2013 mediante el cual se aprobaba el Reglamento.

8 de mayo de 2015

Vigencia de las disposiciones de la LPDP que esperaban reglamentación.

22 de marzo de 2013 + 30 días hábiles = 8 de mayo de 2013

22 de marzo de 2013

Publicación del Reglamento

Vigencia de las obligaciones respecto de los bancos de datos personales preexistentes a la vigencia de la norma. Plazo de adecuación: 2 años, contados desde la vigencia del reglamento.

El segundo numeral de la 12º DFC señalaba que las disposiciones de la LPDP (no especificadas en el numeral 1) regirían en el plazo de treinta días hábiles, contado a partir de la publicación del reglamento de la Ley. 19 1º DC del reglamento.- Adecuación de bancos de datos personales. En el plazo de dos (2) años de la entrada en vigencia del presente reglamento, los bancos de datos personales existentes, deben adecuarse a lo establecido por la Ley y el presente reglamento, sin perjuicio de la inscripción a que se refiere la 5º DCF de la Ley Nº 29733, Ley de Protección de Datos Personales. 20 2º DC del reglamento.- Facultad sancionadora. La facultad sancionadora de la Dirección General de Protección de Datos Personales, en relación a los bancos de datos personales existentes a la fecha de la entrada en vigencia del presente reglamento, queda suspendida hasta el vencimiento del plazo de adecuación establecido en la Primera Disposición Complementaria Transitoria. 18

8

IV. 30 DÍAS HÁBILES POSTERIORES A LA PUBLICACIÓN DEL REGLAMENTO: Transcurridos los 30 días hábiles posteriores a la publicación del reglamento, casi la totalidad de la normativa respecto de la protección de datos personales estaría vigente; especialmente aquella relacionada con el tratamiento de los datos personales y todo lo que ello implicaba. En ese sentido, en la medida que las obligaciones resultaban predicables del tratamiento de datos, 30 días hábiles posteriores a la publicación del reglamento eran exigibles aquellas disposiciones respecto de los principios, el consentimiento, el ejercicio de los derechos de los titulares de los datos, la transferencia de la información. Y con referencia a las obligaciones que recaen sobre los bancos de datos, únicamente eran exigibles las obligaciones relacionadas con la inscripción del Banco de Datos ante el Registro Nacional de Protección de Datos Personales. Por tanto, las medidas de seguridad necesarias para la custodia de la información, era lo que quedaba sujeto al «plazo de adecuación» de dos (2) años siempre que los bancos de datos hayan sido creados antes de la vigencia de la norma, esto es, antes del 8 de mayo del 2013.

V. EL 8 DE MAYO DEL 2015: El vencimiento del «plazo de adecuación» La diferenciación inicialmente planteada sobre las obligaciones respecto de los bancos de datos personales, como contenedor de la información personal; y del tratamiento de los datos personales, como acción propia del titular, encargado y/o responsable, explicaría también el sentido del «plazo de adecuación» contenido en la 5º DFC de la Ley y la 1º DC del reglamento; entendiéndose que aquello que se encontraba suspendido eran las obligaciones respecto de los bancos de datos personales preexistentes a la vigencia de la norma, y que el reglamento determinó el periodo de dos (2) años; más no las obligaciones generadas por el tratamiento de la información personal. Pero ¿cuáles son esas obligaciones? Hasta este análisis se han logrado determinar tres obligaciones concretas: 1. Inscribir el Banco de Datos ante el Registro Nacional de Protección de Datos Personales. 2. Modificar y/o cancelar los Bancos de Datos inscritos, de ser el caso. 3. Disponer de las medidas de seguridad necesarias para la custodia de la información. Las dos primeras obligaciones se encuentran estrechamente vinculadas, por lo que es concretamente la tercera la que entrará en vigencia después del 8 de mayo del 2015 y comenzará a ser exigible por parte de la Autoridad Nacional de Protección de Datos Personales, la APDP. De lo antes descrito se deriva la pregunta final ¿Qué sucederá este 8 de mayo del 2015? Por un lado, habrá vencido el «plazo de adecuación» para los bancos de datos personales creados con anterioridad a la vigencia de la norma; y por otro, con el vencimiento de

9

dicho plazo también entrará en vigencia la facultad sancionadora de la APDP respecto de estos bancos de datos.

A MODO DE CONCLUSIÓN: A pesar de la trascendencia que tiene la garantía del derecho a la protección de datos personales, desde la entrada en vigencia de la Ley (el 3 de julio del 2011) y del reglamento (a partir del 8 de mayo del 2013) se han presentado innumerables cuestionamientos desde los diversos sectores económicos. En algunos casos, incluso se ha llegado reclamar por el excesivo costo que generaría a las empresas la implementación de una ley de esta naturaleza, considerando que actualmente nuestro país está buscando reactivarse económicamente. Sin embargo, se ha olvidado que para un Estado de Derecho como el nuestro, resulta altamente cuestionable que la garantía de un derecho fundamental, reconocido en sede constitucional, dependa de la valorización económica que pueda hacer un empresario. Al inicio de este análisis se plantearon tres objetivos: i) identificar la aplicación temporal, tanto de la LPDP como su reglamento; ii) analizar qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015; y iii) exponer la relevancia del cambio sobre de la privacidad de los ciudadanos. Y en el marco de estos objetivos se desarrollaran las conclusiones. Primero, respecto de la aplicación temporal de las obligaciones contenidas tanto en la LPDP como en el reglamento.- La normativa sobre la protección de datos personales (tanto la LPDP como su reglamento) se ha enfocado en dos ámbitos de actuación. Por una parte, están las obligaciones relacionadas con el banco de datos personales; y por otro aquellas vinculadas al tratamiento de la información personal. En uno y otro caso, aplicando los principios de aplicación temporal de la norma (aplicación inmediata y aplicación diferida por potestad legislativa) se evidencia que existe un grupo de obligaciones que estuvieron vigentes al día siguiente de la publicación de la ley; otras que se volvieron exigibles 30 días hábiles posteriores a la publicación del reglamento; y otras que quedaron sujetas al plazo de adecuación de señaló el mismo reglamento. En este último caso, la 1º DC del reglamento se refiere a las obligaciones relacionadas con los bancos de datos personales preexistentes a la vigencia de la LPDP, sin perjuicio de la obligación de registro contenida en el artículo 29º de la propia ley. Segundo, respecto de lo qué sucederá con el derecho a la protección de datos personales después del 8 de mayo del 2015.- Este 8 de mayo el Perú habrá consolidado su primer paso para solidificar su camino hacia una garantía concreta del derecho fundamental a la protección de datos personales, previsto como tal en el numeral 6 del artículo 2º de la Carta Fundamental; y es tarea de todos conocer y reconocer qué derechos y obligaciones se generan como consecuencia de esta nueva regulación. Además, el plazo de adecuación para aquellos bancos de datos personales preexistentes a la vigencia de la ley habrá terminado, por lo que todas las obligaciones contenidas tanto en la LPDP como en el reglamento (las relacionadas tanto con el banco de datos como con el

10

tratamiento de los datos) serán de cumplimiento obligatorio, acarreando la apertura del procedimiento sancionador y las correspondientes sanciones (multas). Tercero, respecto de la relevancia del cambio sobre la privacidad de los ciudadanos.Desde hace bastante tiempo, los países del mundo evidenciaron que el tratamiento de los datos personales y el tráfico de los mismos, amenazan el sistema de derechos fundamentales, y hace vulnerables a las personas en su día a día. La regulación que respecto de la protección de datos personales se ha desarrollado en el Perú desde el 2011 importa no solo la existencia de una nueva regulación con exigencias adicionales para las empresas y/o personas naturales que realicen tratamiento de información personales, sino que además busca un cambio de paradigma en los temas de privacidad. Con este reconocimiento no solo se fortalece un derecho constitucionalmente reconocido, sino que además se materializa un derecho indispensable para esta nueva era de la tecnología y la informática, propia del siglo XXI. En nuestros días la información personal, independientemente de su forma de representación, tiene una importancia vital en la mayoría de las actividades; de manera tal que puede reconocérsele como un «activo» que aporta a la organización innumerables ventajas. Quien no crea en esta afirmación está invitado a hacer unas pruebas muy simples en su empresa y ver qué sucede al dejar de utilizar, por unos momentos, la información personal de sus usuarios.

Lima, 5 de mayo del 2015

11