J. Alexis Vélez Cortez
Asociado en el Estudio Diez Canseco Competencia & PI. Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Becario de la XXIV edición del Curso de extensión universitaria en regulación con especialización en telecomunicaciones del Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL).
Sumilla
El presente artículo desarrolla una breve reflexión sobre la relevancia creciente de los datos personales en relación a distintas actividades de carácter comercial. Siendo que estas implican la existencia de una relación de consumo, el autor ahonda sobre como la protección al consumidor puede verse implicada en nuevos escenarios en los que los proveedores utilizan los datos personales de los consumidores para la realización de la actividad comercial.
I. Introducción
Durante los meses de confinamiento vividos en el Perú y en innumerables países del globo han surgido rigurosos debates en torno al uso de la información personal (relacionada a la salud, el consumo, la conducta financiera, entre aspectos). Por una parte, debido a la mudanza forzada de las relaciones cotidianas al ámbito digital; y, por otra, al enfoque cada vez más claro de que la información personal es un medio valioso para emprender y sostener diversas actividades públicas o privadas.
Gobiernos y comunidades de naciones han desarrollado políticas públicas alrededor del uso de bases de datos personales de su población; los comercios han innovado sus procesos para el aprovechamiento de la información de sus clientes; y, en general, se ha tomado mayor conciencia sobre la importancia en la protección de la información clasificada como dato personal.
Lo cierto es que el uso de manera ventajosa y dinámica de los datos personales tiene lugar en el sector comercial. Actualmente, los comercios reciben y manipulan información personal de los consumidores de tal manera que se convierte en un insumo esencial para entablar relaciones de consumo. Por su puesto que, dentro de este contexto, se encuentran tanto las actividades de e-commerce como las que se desarrollan de manera “tradicional”.
II. La pregunta inicial: ¿Qué son los datos personales?
Como toda definición clásica, el concepto de dato personal y su protección parte de su origen como derecho fundamental. El mandato constitucional desde el cual se construye el sistema de protección de datos personales peruano se localiza en el inciso 6 del artículo 2 de la Constitución Política del Perú. De allí que toda persona tiene el derecho a que no se suministre información que afecte su intimidad personal y familiar.
Así, puede entenderse que un uso desproporcionado, abusivo o irregular de la información de una persona (datos personales) activa la tutela a la intimidad personal y familiar [1].
Como persona, y como consumidor, se tiene el derecho a que nuestra información personal sea cuidadosamente administrada y que, en ningún momento, esté fuera de nuestro control. A ello se le conoce como autodeterminación informativa, cuyo concepto ha sido explicado por el Tribunal Constitucional [2].
La ley que desarrolla la autodeterminación informativa es la Ley N° 29733, Ley de Protección de Datos Personales (Ley de Protección de Datos), en donde los datos personales son definidos como toda información o dato sobre una persona natural que la identifica o la haga identificable.
En el Reglamento de la Ley de Protección de Datos, aprobado por Decreto Supremo N° 003-2013-JUS, se puntualiza en que los datos personales pueden consistir en aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales.
Si bien es cierto que el derecho a la protección de los datos personales es sumamente importante para la vida cotidiana de las personas, el cumplimiento de la normativa nacional de protección de datos no ha tenido la relevancia que ameritaba. Es debido a la forzada masificación y mudanza de las actividades comerciales al entorno digital que hoy en día el enforcement de la normativa nacional de protección de datos ha tomado un mayor impulso y, a la vez, se han replanteado los mecanismos de fiscalización [3].
III. ¿Cómo se incorpora la protección de datos personales a la actividad del proveedor?
Cada proveedor que lidia con datos personales de los consumidores en su día a día -ya sea a través de promociones, concursos, marketing, ventas, atención, etc.- se encuentra en la obligación de orientar sus acciones al cumplimiento de las reglas que conforman el sistema de protección de datos personales.
Un hotel que presta servicios de alojamiento recoge datos personales de sus huéspedes; un banco administra datos personales de índole financiera; una clínica brinda sus servicios gracias a los historiales médicos de sus pacientes; una tienda online realiza sus envíos vía delivery mediante el uso de la información personal consignada por el consumidor; deberán alinear sus procedimientos de manipulación de los datos personales (tratamiento) a lo estrictamente previsto en la Ley de Protección de Datos y su Reglamento.
Fuente: MINJUS. Guía de Inscripción de Bancos de Datos Personales [4].
Los proveedores cuentan con una serie de obligaciones derivadas de la Ley N° 29571, Código de protección y defensa del consumidor (Código de Consumo). Un punto importante que debe resaltarse es que ciertas reglas del Código de Consumo convergen en el ámbito de la Ley de Protección de Datos, complementándose en su aplicación a través de una lectura sistemática.
- El consentimiento para la transmisión de publicidad
La Ley de Protección de Datos reconoce distintos principios con el objetivo de brindar protección a los datos personales, siendo el principio de consentimiento uno de los pilares para el cumplimiento de la protección a la información personal de la persona natural. Mediante el principio de consentimiento, el tratamiento de los datos personales es legal, toda vez que el consumidor, como titular de estos, ha prestado su consentimiento libre, previo, expreso, informado e inequívoco.
En línea con la Ley de Protección de Datos, el Código de Consumo atiende a la regla del consentimiento previo del consumidor para la realización de comunicaciones comerciales. Los proveedores se encuentran obligados a recabar el consentimiento previo de los consumidores para ofertar bienes o servicios vía comunicación telefónica, correo electrónico o mensaje de texto.
Esta regla del Código de Consumo no significa que no habría manera de obtener el consentimiento del consumidor. En la interpretación de la regla del consentimiento previo regulada en la Ley de Protección de Datos, la Autoridad Nacional de Protección de Datos Personales (ANPD) sustentó que la obligación de obtener el consentimiento previo no significaba la prohibición absoluta de contacto. De manera que, a través de las comunicaciones comerciales, el primer contacto con el consumidor deberá orientarse a la obtención de su consentimiento [5].
Como consecuencia de la “tolerancia del primer contacto”, si el consumidor no otorga su consentimiento para la obtención de sus datos personales, no podrá ser contactado nuevamente.
Un antecedente normativo de interés fue la Ley N° 28493, que regulaba el uso de correo electrónico comercial no solicitado (spam) y que fue derogada tácitamente por el Decreto Legislativo N° 1390, que modificó el Código de Consumo. La mencionada Ley N° 28493 admitía la posibilidad de enviar correos electrónicos no solicitados bajo determinada forma, y era el propio consumidor el responsable de expresar su negativa a seguir recibiendo dichos correos spam [6].
2. Bancos de datos de consumidores
Tal y como se ha señalado líneas arriba, los proveedores consideran a los bancos de datos personales de sus clientes como un insumo fundamental para desarrollar sus actividades económicas (p. ej. El telemercadeo). Los bancos de datos pueden ser construidos a lo largo del tiempo o ser transmitidos por un tercero que ya contaba con un banco de datos organizado. Sea cual fuese, los proveedores se encuentran obligados a registrar su existencia ante la ANPD, exactamente en el Registro Nacional de Protección de Datos Personales.
El Código de Consumo obliga a los proveedores a poseer un Libro de Reclamaciones a fin de que los consumidores puedan consignar, junto a sus datos personales, las quejas o reclamos que pudieran tener en relación con los bienes y/o servicios prestados por el proveedor.
Los libros de reclamaciones, físicos o virtuales, son instrumentos que requieren de su inscripción como bancos de datos personales. Esta consideración suele pasar inadvertida por la mayoría de los proveedores, lo que podría ocasionarles la imposición de una multa por el monto máximo de 5 UIT (infracción leve).
De la misma manera, los bancos de datos construidos durante la formación de relaciones de consumo (órdenes de compra, suscripciones) deberán ser registrados, de manera que el consumidor pueda ser informado sobre la existencia regular de los mismos.
3. Políticas de privacidad
Los comercios electrónicos y sus plataformas recopilan datos personales necesariamente. Sea mediante formularios virtuales o a través de otros medios electrónicos, la Ley de Protección de Datos prevé este tipo de situaciones y traslada al proveedor la obligación de publicar una política de privacidad con el objetivo de mantener informado al consumidor sobre las implicancias de haber brindado sus datos personales.
Un comercio electrónico necesariamente debe garantizar la comprensión de las condiciones a las que se someterán los datos personales de sus consumidores. Una política de privacidad es un apartado virtual que contiene las condiciones definidas por el propietario de la plataforma para el tratamiento de los datos personales recopilados.
Las políticas de privacidad, no deberán restringir el ejercicio de los derechos contenidos en la Ley de Protección de Datos y en el Código de Consumo o eximirse de la responsabilidad del tratamiento de datos de manera absoluta. Asimismo, no podrán eximirse de la responsabilidad sobre la confidencialidad de la información personal brindada por el consumidor.
IV. Hacia una cultura de protección de datos personales
La disrupción tecnológica empujará aún más al uso masivo de información personal calificada como dato personal. Por un lado, los consumidores disfrutarán de procedimientos simplificados de consumo en la era digital, como por ejemplo, las confirmaciones biométricas de pago o las contrataciones no presenciales; y, por otro, los proveedores requerirán de grandes bancos de datos personales automatizados para la oferta y contratación masiva de bienes o servicios.
La normativa de consumo y de protección de datos personales deberán ir de la mano con las nuevas exigencias comerciales sin perder de vista la especial situación de los consumidores que pocas veces es consciente del valor de su propia información personal.
Bibliografía
[1] Defensoría del Pueblo (2019). “Manual de protección de datos personales”. Disponible en: https://www.defensoria.gob.pe/wp-content/uploads/2019/11/Manual-de-Protecci%C3%B3n-de-Datos-Personales.pdf.
[2] En la Sentencia recaída en el Expediente N° 04739-2007-PDH/TC, el Tribunal Constitucional señala que: “(…) El derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal. 3. Mediante la autodeterminación informativa se busca proteger a la persona en sí misma, no únicamente en los derechos que conciernen a su esfera personalísima, sino a la persona en la totalidad de ámbitos; (…) el derecho a la autodeterminación informativa busca garantizar la facultad de todo individuo de poder preservarla ejerciendo un control en el registro, uso y revelación de los datos que le conciernen”.
[3] En una nota de prensa publicada el 11 de enero de 2021 en el portal del Ministerio de Justicia y Derechos Humanos, se detalla que, debido a la pandemia y al uso intensivo de plataformas digitales, se intensificó la recolección masiva de datos personales por agencias gubernamentales y particulares. Esta situación llevó a la Autoridad Nacional de Protección de Datos Personales (ANPD) a plantearse nuevas modalidades de supervisión y fiscalización. Consultado en: https://www.gob.pe/institucion/minjus/noticias/324309-anpd-fiscalizo-a-305-entidades-emitio-mas-de-100-resoluciones-e-impuso-multas-por-mas-de-3-5-millones-de-soles-durante-el-2020.
[4] MINJUS (2014). Guía de Inscripción de Bancos de Datos Personales. Disponible en: https://cdn.www.gob.pe/uploads/document/file/1401557/Gu%C3%ADa%20de%20%20inscripci%C3%B3n%20de%20bancos%20de%20datos%20personales.pdf
[5] ANPD (2019). Opinión Consultiva N° 05-2019-JUS/DGTAIPD. Consultado en: https://www.minjus.gob.pe/wp-content/uploads/2019/04/OP-05_2019_JUS_DGTAIPD.pdf
[6] ANPD (2019). Opinión Consultiva N° 12-2019-JUS/DGTAIPD. Consultado en: https://www.minjus.gob.pe/wp-content/uploads/2019/04/OP-12_2019_JUS_DGTAIPD.pdf