Para conocer la posición del Ministerio de Justicia y Derechos Humanos (Minjusdh) frente a un choque entre las normas de acceso a la información y la protección de datos personales; y el incremento de demandas usando esta última ley contra medios, entidades estatales especializadas en lucha anticorrupción y otras plataformas; Ojo-Publico.com entrevistó a Eduardo Luna, director de la Autoridad de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia (Dgtaipd), así como a María González, titular de la Dirección de Datos Personales; y Olga Escudero, encargada de fiscalización en esta última dependencia.

Hablemos sobre la Ley de Protección de Datos Personales y su contexto.

Eduardo Luna: La norma de protección de datos personales es la Ley 29733 y su reglamento, el Decreto Supremo 003-2013. La institución emergente a propósito de la ley es la Autoridad Nacional de Protección de Datos Personales que, a lo largo de estos años, y por distintas gestiones y modificaciones al reglamento de organización y función del Ministerio de Justicia, también ha ido mutando de direcciones [al interior del Minjus].

"El Perú [...] debía ponerse a la vanguardia de la protección de este derecho (datos personales)"

¿Cuándo se creó la norma? ¿Qué protege y cómo se entiende dentro de la jurisdicción de la Autoridad de Transparencia, Acceso a la Información Pública y Protección de Datos Personales?

Eduardo Luna: Se creó el 2011 para proteger el derecho de autodeterminación informativa o de protección de datos personales, reconocido en la Constitución. El Perú, como otros países de la región, debía ponerse a la vanguardia de la protección de este derecho y tenía que hacerlo a propósito de una ley de desarrollo, que fue la Ley 29733. Toda ley es inútil si no tiene detrás una institucionalidad que se encargue, una agencia especializada de proteger los datos personales de los peruanos. Siempre, dentro de las posibilidades que implica una organización, un grupo humano determinado, con un número de recursos limitados. Este es el sexto año de vida de la Autoridad Nacional de Protección de Datos Personales. La particularidad es que se ha integrado a una nueva institucionalidad que es la Autoridad Nacional de Acceso a la Información Pública y Transparencia.

DIRECTOR. Desde enero del 2018, Eduardo Luna dirige la Autoridad Nacional de Protección de Datos personales en el Minjus.

Foto: Ojo-publico.com

Hemos detectado que gran parte de los procesos abiertos por la dirección de datos personales son contra empresas del rubro telefónico, bancos, clínicas, entre otros.

Olga Escudero: Sí, no están informando al ciudadano sobre la forma en la que están tratando sus datos personales, ni cómo [lo están haciendo], ni quién [lo está haciendo]. En el momento en que te piden tus datos, te deben informar para qué los van a usar.

Procesos contra medios de comunicación y el estado

Además de los casos contra empresas también detectamos procesos a medios, blogs y plataformas web que publican datos estatales ¿No existe una contradicción entre la libertad de expresión e información y la protección de los datos personales?

Eduardo Luna: Puede resultar complejo entender esta tensión entre la protección de los datos personales y la libertad de información. Lo que nosotros realizamos, estudiando caso por caso, es evaluar aquella situación en donde la hipervisibilidad de un nombre asociado a una noticia que puede no tener relevancia pública, afecte a una persona de manera desproporcionada. En esa eventualidad no ordenaremos a un medio eliminar el contenido, sino simplemente desindexar el nombre de aquella noticia.

"No ordenaremos a un medio eliminar el contenido, sino simplemente desindexar el nombre de aquella noticia"

María González: No es contra la libertad de expresión porque no vamos a pedir que se retire cierta información de la web. Eso tiene otro tipo de canales. Lo que se pide es ver si el nombre de esa persona tiene relevancia pública, si la noticia tiene relevancia pública. Ahí vemos de quién se trata, si es un funcionario [del Estado], si hay un interés público. Si es un tema de corrupción puede ser de interés público pero si se muestra a qué colegio va el niño tal vez no lo sea. Hay que ver cada caso.

"No toda la información del Estado es pública todo el tiempo"

Pero también hay casos contra plataformas de transparencia del Estado o portales de información del Poder Judicial, el Ministerio Público, el Tribunal Constitucional, la Sunarp, entre otros. ¿No hay un conflicto entre la Ley de Transparencia y Acceso a la Información Pública y la Ley de Protección de Datos Personales en estos procesos?

María González: No, porque no toda la información del Estado es pública todo el tiempo. Por ejemplo, mi nombre es público, mi cargo es público, si cumplo con los requisitos del puesto es público, pero la dirección de mi casa no lo es. La información está en el legajo del Minjusdh, pero no quiere decir que sea pública. Hay normas que dicen quiénes pueden tener acceso a antecedentes penales y cuándo. Por ejemplo, hay una norma sobre funcionarios sancionados por la Contraloría. Cuando el sancionado ha sido rehabilitado, la información no debe ser pública, según el reglamento. Si la persona está sancionada y está en proceso de cumplir su sanción la norma manda que sea pública, tiene que señalarse a través de una resolución quién es el funcionario sancionado, pero cuando ya está rehabilitado, la norma manda que se borre toda constancia de la sanción. Por lo tanto, ese nombre ya no sería público. Hay personas que pueden ser mencionadas por estar investigadas. A veces concluyen estas investigaciones, procesos judiciales de por medio, y la calidad que tenía esa persona fue de testigo, nunca investigado y no se le ha imputado algún delito. Cuando alguien hace una búsqueda con su nombre en un buscador [web], inmediatamente salta una noticia que está desactualizada. Entonces, si una persona se siente afectada puede acudir a la autoridad [de datos personales] y podrá disponer la actualización, nunca la eliminación.

"Los procesos en trámite que puedan perturbar el conocimiento de algunos medios [de comunicación][..] no significa borrón y cuenta nueva o inmunidad"

En los últimos años, los medios tienen gran presión por parte de personas que piden censurar información relacionada a ellos con el pretexto de que son datos personales. También tenemos entidades del Estado que en algunos casos se autocensuran. ¿No hay un retroceso en temas de transparencia?

Eduardo Luna: Creo que fue un acierto del legislador, el incluir en una sola dirección las dos autoridades: la de transparencia y acceso a información pública; y la protección de datos personales. Esto nos obliga a conciliar las dos visiones que se requieren para resolver casos complejos. La tendencia mundial es que existan agencias especializadas en estas temáticas. Hay leyes como la de protección de datos personales y de transparencia que le confiere a estas entidades las facultades para valorar caso por caso y ponderar el interés público. Esta es la tarea delicada que tenemos. Lo que sí puedo asegurar es que desde que asumí la dirección si bien podría haber procesos en trámite que puedan perturbar el conocimiento de algunos medios [de comunicación], a propósito de gente investigada por algún acto irregular, eso no significa borrón y cuenta nueva o inmunidad. Esto seguirá su trámite, tanto en la primera y segunda instancia, y se evaluarán las circunstancias que la ley pone sobre la mesa para que la autoridad de protección de datos, con responsabilidad y evaluando el interés público, adopte una decisión.

Lo importante es que las personas afectadas por cualquier decisión de la autoridad tienen el camino hacia un juez para enmendar algún error que se pueda cometer. Lo que además puedo asegurar es que nosotros valoramos el interés público. Es un criterio vital y fundamental para tomar en cuenta. La propia ley lo recuerda. Por ejemplo, no se puede divulgar cierta información sin el consentimiento del particular, pero la norma tiene excepciones: cuando el tratamiento se realiza bajo el ejercicio constitucionalmente válido del derecho a la libertad de información. Si se trata de interés público no se requiere, evidentemente, el consentimiento de la persona afectada.

LOCAL. La autoridad realiza sus funciones en un inmueble ubicado en San Isidro.

Foto: Ojo-Publico.com

¿Cómo se entiende el llamado “Derecho al olvido” en el contexto nacional?

María González: En el Perú se ha aplicado en los temas de publicación de información en Internet. Justamente es para evitar la hipervisibilización de temas que no son de interés público. Por ejemplo, tenemos el caso de una señora que tuvo problemas familiares y fue internada en un clínica y su historia salió [en los medios] porque era pariente de una persona que en ese momento estaba en un cargo público. La señora pidió que después de 15 o 20 años de pasado el proceso, los datos de su historia médica no estén en Internet porque ella no ocupaba ningún cargo público. Entonces, la dirección resolvió que se podía desindexar su información. Es decir, cuando esta persona ingrese sus datos en internet, no aparezca su historia médica por no haber interés público. Entonces, se tiene que evaluar caso por caso si [la información] tiene interés público, relevancia o si está desactualizada. Muchas veces hay personas que son denunciadas y no pasa de [una investigación por] la fiscalía. Sin embargo, no se dice que ese proceso se archivó. Entonces, hay que actualizar [las notas periodísticas] para que no aparezca como si esta persona fuera culpable.

¿Cuáles son las funciones de la Dirección de Datos Personales del Minjus?

María González: Tiene tres funciones centrales: Administra el Registro Nacional de Protección de Datos Personales; emite resoluciones de primera instancia en procedimientos trilaterales de tutela, para la protección de los derechos de acceso, rectificación, cancelación y oposición de tratamiento de datos; y resuelve los procedimientos sancionadores, también en primera instancia, que se inician en la dirección de fiscalización e instrucción por actos en contra de la ley de datos personales y su reglamento.

"Las entidades no cumplen con el deber de informar [al ciudadano de la posesión de sus datos personales]"

¿Cuál es la carga de esta dirección (procesos trilaterales y administrativos sancionadores)?

María González: Ha ido creciendo. En cuanto a [procesos] trilaterales tuvimos 19 el 2015, 32 el 2016, 53 el 2017 y deberíamos terminar en unos 70 [el 2018]. En [procesos administrativos] sancionadores hemos concluido 35 de 95 iniciados. En el Registro Nacional la carga es mucho mayor, recibimos 300 solicitudes mensuales, aproximadamente, para inscribir bancos de datos personales.

¿Cuál es la cantidad de procesos que han terminado en sanción en los últimos años?

María González: El 2015 se sancionaron a 27 entidades, el 2016 a 41, el 2017 a 47 y en el 2018 a 19. Algunas están en etapa de apelación.

¿Cuál es la infracción más cometida en materia de protección de datos personales?

Olga Escudero: La infracción que más se ha detectado está vinculada al tema del consentimiento en el tratamiento de los datos personales. Las entidades no cumplen con las medidas de seguridad en este tema y este año, en las fiscalizaciones que hemos realizado, lo que más detectamos es que las entidades no cumplen con el deber de informar [al ciudadano de la posesión de sus datos personales]. El ciudadano tiene el derecho de conocer qué es lo que se va a hacer con sus datos personales, cuál va a ser el tratamiento, y cómo y quién lo va a hacer. Esta información debe ser entregada al ciudadano por cualquier entidad pública o privada que hace tratamiento de datos personales. Lo que hemos identificado es que no se presta esta información al ciudadano.