:quality(75)/arc-anglerfish-arc2-prod-elcomercio.s3.amazonaws.com/public/XBUTXAJH55D7LIKE6QZYCOKAEY.jpg)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/GT64EVGIL5FGLDEQM5HWAJ3MH4.jpg)
La semana pasada, la Comisión Nacional de Informática y Libertades de Francia multó a Google con 50 millones de euros, aplicando el Reglamento Europeo de Protección de Datos Personales, vigente para toda la Unión desde mayo del 2018. Las razones son varias: poca accesibilidad de información esencial para usuarios sobre el tratamiento de sus datos personales (se requiere acceder a muchos enlaces para llegar a ella); falta de explicitud al momento de informar si los datos sensibles que se entregan se enviarán luego a terceros; falta de claridad respecto al consentimiento para la utilización de información personal con fines publicitarios de la plataforma y sus diversos servicios (publicidad personalizada), entre otras.
En suma, se acusa a la multinacional estadounidense de mellar principios esenciales de la normativa de protección de datos personales europea, la transparencia en la información y el consentimiento. Esta decisión, al margen de los siguientes pasos legales que adopte la empresa, ya ha arrancado positivas declaraciones de sus directivos, en el sentido de comprometerse a alcanzar los altos estándares europeos y las expectativas del público en estos asuntos.
Pero estos estándares no son solo europeos. La globalización de las comunicaciones y la existencia de plataformas digitales de información que procesan abundantes datos personales de los ciudadanos han despertado la necesidad –también global– de afinar los ordenamientos jurídicos y generar nueva institucionalidad para garantizar los derechos de protección de datos personales; derechos que no son sino la expresión del derecho de toda persona a decidir libremente respecto a su información personal.
El Perú también cuenta con una Ley de Protección de Datos Personales, la Ley N° 29733, y una joven institucionalidad encargada de hacerla cumplir. El año pasado la Autoridad Nacional de Protección de Datos Personales, a cargo de la Dirección General del Ministerio de Justicia y Derechos Humanos, recaudó por concepto de multas a entidades infractoras de esta ley más de 770 mil soles (las multas impuestas abultan aún más esta cifra). Las infracciones más comunes son justamente por incumplir los estándares nacionales respecto del consentimiento: este debe ser previo, informado, expreso e inequívoco. No cabe, pues, un tratamiento de datos (recopilación, almacenamiento, transferencia, etc.) sin que el titular de los mismos preste su consentimiento y con estas características.
También han sido frecuentes las infracciones por vulnerar el principio de proporcionalidad: si se recopilan datos personales, debe hacerse para perseguir una finalidad legítima y autorizada por el titular de esos datos. No para otros fines no autorizados o excesivos a la luz del motivo que originó que la persona los provea.
Por eso es tan importante que las entidades que tratan datos de las personas (empresas que elaboran listas de sus clientes, por ejemplo) publiciten debidamente sus políticas de privacidad y protección de los mismos. Informen para qué se recopilan, dónde se almacenan y si los transfieren a terceros (los cuales, además, deben ser identificados). Así, el ciudadano puede oponerse, si lo desea, y decidir contratar con otra entidad que le ofrezca las garantías reclamadas respecto de su información. Por eso la ley exige que las entidades registren sus bancos de datos personales en el Registro de la Autoridad. Esto ordena a las entidades respecto a las obligaciones de la ley –la seguridad de la información, entre ellas– y le permite al ciudadano informarse de estos asuntos y ejercer sus derechos.
Hay todavía un largo camino para que la ciudadanía adopte hábitos de protección de sus datos personales en Internet; y, sobre todo, para que se sienta titular de un derecho sobre los mismos. Sanciones como la francesa, o las peruanas, sin duda pueden resultar ejemplificadoras para que las entidades asuman con seriedad las obligaciones derivadas de la ley, pero también será importante la responsabilidad empresarial, la autorregulación y la prevención a través de la promoción –por todos los actores involucrados– de una cultura de la transparencia de la información y de la protección de datos personales en el país.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/3NK2WXV2QNGQ5JQYCIKHP7ILIE.png)
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/Z6XV3HFDMNFPPJUN4GVXGZNZDM.png)