Andreína Camargo
Qué duda cabe que la pandemia ha precipitado nuestra inmersión a profundidad en los medios digitales. Así, para tener una reunión con amigos que se encuentran al otro lado del mundo, basta un clic para poder escucharlos y verlos. De alguna manera, hemos hecho más estrecha nuestra relación con los demás. Pero ¿el haber optimizado nuestro tiempo ha generado que proporcionemos datos que deben resguardarse?
A manera de guía para nuestro lector: en primer lugar, será importante definir qué debemos entender por datos personales; en segundo lugar, analizaremos cuál es el tratamiento de dichos datos en el exterior y en el Perú; y, finalmente, esbozaremos algunas conclusiones y consejos para proteger nuestros datos.
Entonces, para empezar, ¿qué son los datos personales? De acuerdo con el Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR, por sus siglas en inglés) los datos personales “son cualquier información relacionada con una persona identificada o identificable, también denominado “el interesado”[1]. Estos datos aluden a cualquier tipo de información que se posea de una persona, tales como el nombre, número de seguridad social, fecha y lugar de nacimiento, registros biométricos y otros.
En esa misma línea, en nuestro país tenemos la Ley No. 29733, Ley de protección de datos personales, en cuyo artículo No. 2, numeral 4, define a los datos personales de la siguiente manera:
| 4. Datos personales. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. |
Como podemos constatar, en dicho artículo se alude a toda información que está relacionada con una persona, ya sea directa o indirectamente. En términos de la norma “que la identifica o la hace identificable”.
Ahora bien, a nivel internacional, pero específicamente en la Unión Europea (UE), ha existido un importante trabajo en la unificación de una legislación para la protección de los datos personales de sus ciudadanos. Dicha labor se concretó con el Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation, citado anteriormente) el 25 de mayo del 2018. Este reglamento marca un hito crucial, puesto que los datos personales de estos ciudadanos siempre se encontrarán protegidos frente a cualquier supuesto, independientemente que las organizaciones o empresas tengan su sede o no en la UE. Así, ante el segundo supuesto, se encuentran obligadas a “nombrar un representante” [2]. Esta situación, ya nos avizora que se trata de un tema sensible y que debería resultar relevante para nuestras naciones.
Lamentablemente, no existe a la fecha un trabajo como el realizado en la Unión Europea en nuestra región. Sin perjuicio de ello, antes de la entrada en vigor de este reglamento, diferentes países de nuestro continente habían ido regulando respecto al tema. El mismo que se ha reforzado con la elevación de los estándares de protección exigidos por este instrumento internacional, de cara al tratamiento de los datos personales de ciudadanos de la Unión Europea.
Así, países como Argentina, Brasil, Chile, Colombia y México, han legislado al respecto. Para complementar brevemente, por citar a una de las legislaciones más antiguas respecto a la temática, tenemos a nuestro país vecino, Chile. La protección de datos personales en dicho país data de 1999 con la Ley No. 19628. Preliminarmente, se establecía que los titulares de los datos debían ser informados sobre los fines del tratamiento de su información personal. Del mismo modo, se reguló la obtención del consentimiento. Un aspecto que se dejó de lado en dicha legislación fueron los mecanismos a emplear para velar con su cumplimiento [3] . Esta situación ha sido superada con la entrada en vigor de la GDPR, en vista de que -como se ha mencionado-, el reglamento impone estándares más elevados para el tratamiento de los datos personales de ciudadanos de la UE, con lo cual, muchos estados se han esmerado en ajustar sus legislaciones a tales disposiciones.
Un punto por resaltar en la ley chilena es la presencia del responsable del registro o banco de datos personales, regulado en su artículo 5, quien se encargaba del tratamiento de los datos personales. Analógicamente, en el reglamento de la UE se identifican tres actores para el tratamiento de tales datos: el responsable (controlador del dato, en algunas traducciones); el procesador (encargado, en algunas traducciones); y, el oficial de dato, quien se encarga de guiar a la organización velando que se cumpla con el GDPR.
Como se ha adelantado, en nuestro país contamos con Ley No. 29733, Ley de protección de datos personales. En las disposiciones generales del reglamento de dicha ley se define un glosario sustancial respecto a la materia legislada. Así, es importante destacar que entre los actores que se identifican se encuentran a los siguientes: emisor o exportador de datos personales, encargado del tratamiento, receptor o importador de datos personales, responsable del tratamiento, tercero, entre otros. De igual manera, se destacan los siguientes principios rectores: consentimiento, calidad y seguridad.
Aunado a ello, es pertinente resaltar la presencia de la Autoridad Nacional de Protección de Datos Personales, regulada en la referida legislación. Dicha institución se encarga de ejecutar “las acciones necesarias para el cumplimiento del objeto y demás disposiciones de la presente Ley y de su reglamento”[4]. La labor de esta autoridad se ha venido perfeccionando en orden de brindar un mejor asesoramiento a las víctimas frente a un uso inadecuado de sus datos personales, ya sea por una institución pública o privada. En esa línea, desde el 25 de febrero de este año -de acuerdo con su última modificación- se ha dispuesto una plataforma virtual mediante la cual cualquier persona que haya sido víctima o testigo de un empleo incorrecto de sus datos personales pueda denunciar dicha situación[5]. Este proceso consta de tres etapas, los mismos que se pueden extender hasta 160 días hábiles.
Si bien, esta resulta ser una buena iniciativa, se podría mejorar el manejo de los plazos, en vista de que, los mismos que se proponen actualmente pueden poner en peligro la evidencia digital de algún dato personal que tenga como formato de soporte los medios digitales[6]. Debemos considerar que, de encontrarse un dato personal en la red y que no sea debidamente resguardado, está expuesto a ser eliminado o modificado. He allí la importancia de conservar y resguardar la evidencia digital para la respectiva sanción del responsable.
En este punto, en definitiva, ya deberíamos reflexionar respecto a qué tanta información ponemos a disposición de los demás. Resulta evidente que gran parte de nuestra vida se encuentra en redes sociales. En ellas compartimos fotos, videos, comentarios, entre otros. Pero ¿estos son datos personales? Conforme a destacada doctrina, sí caben ser considerados como tales:
| Sin lugar a dudas, casi todas las publicaciones que realizamos en redes sociales contienen datos personales. En concordancia con lo señalado por AGUSTINO y MONCLÚS, justamente es estas publicaciones las que alimentan las redes sociales, donde los usuarios ponen a disposición de los demás integrantes de determinada red social, información personal, por ejemplo, las fotos del entorno familiar, amical, los contenidos compartidos, ubicación geográfica, centro de estudios, centro de trabajo, relaciones con otros usuarios de la red [7]. (Resaltado es mío) |
En ese sentido, resulta evidente que nuestra actividad en redes sociales también compone en cierta medida nuestros datos personales. Asimismo, podemos relacionarla con nuestra huella digital. Esto es, cuando navegamos en las redes sociales dejamos huella en lo que publicamos, aquello que damos like o publicidad que observamos. Puede parecer que no resulta importante, no obstante, existen grupos de riesgo que están inmersos en las redes y que no tienen una cultura de prevención. En ese marco, los niños son un grupo importante a tomar en consideración. Ellos se encuentran expuestos a la pérdida de la privacidad y a la exposición de sus datos.
En resumen, algunas medidas que podemos tomar pueden ser en dos ejes: prevención y exposición. El cuanto al primero lo podemos relacionar con la creación de contraseñas seguras, el uso de autenticación en dos pasos -para elevar la seguridad de nuestras cuentas- y la revisión periódica de los dispositivos a los que tenemos asociados nuestras cuentas. En cuanto al segundo, principalmente, se enmarca en las publicaciones que realicemos. Debemos cuestionarnos qué deseamos compartir y qué queremos mantener en privado. Es fundamental mantener presente que no todo lo que se publica en internet “llega a ser eliminable”.
Referencias:
- YOUR EUROPE. (2021). “Reglamento General de Protección de Datos”. Web Oficial de la Unión Europea Website. Consulta: 6 de marzo de 2022. URL: https://europa.eu/youreurope/business/dealing- withcustomers/data-protection/data-protection-gdpr/index_es.htm
- Ibidem. Nota 1.
- BOJALIL, Paulina y VELA, Carlos. (2019). “Despuntan las reformas en materia de protección de datos en América Latina”. Banco Interamericano de Desarrollo. Consulta: 06 de marzo de 2022. URL: https://blogs.iadb.org/conocimiento-abierto/es/proteccion-de-datos-gdpr-america-latina/
- Art. 32 del Título VI de la Ley No. 29733.
- La página web citada es la siguiente: https://www.gob.pe/9271-denunciar-el-mal-uso-de-datos-personales
- Las características de la evidencia digital: (i) volátil; (ii) duplicable; (iii) alterable; (iv) eliminable. MARTÍN NESSI, Alan. (2017). “Manual de Evidencia Digital”. Lima: Proyecto de Apoyo al Sector Justicia. Consulta: 06 de marzo de 2022. URL: https://www.mpfn.gob.pe/Docs/0/files/manual_evidencia_digital.pdf
- ESPINOZA CALDERÓN, Víctor Raúl. (2022). Valoración Probatoria de los contenidos de redes sociales: datos personales, políticas de privacidad, prueba electrónica y pantallazos. Lima: AC Ediciones.
