LA PROTECCION DE DATOS PERSONALES

¿POR QUÉ UN DERECHO DE PROTECCIÓN DE DATOS PERSONALES?

El derecho a la intimidad INTIMIDAD DINÁMICA INTIMIDAD ESTÁTICA

El derecho a la intimidad Derecho a la libertad informática Derecho a la autodeterminación informatica Derecho a la protección de datos personales Toda persona tiene el derecho a controlar la circulación de informaciones referidas a ella

El derecho a la protección de datos personales “El peligro para la privacidad del individuo no radica en que se acumule información sobre él, sino, más bien, en que pierda la capacidad de disposición sobre ella y respecto a quien, y con qué objeto se transmite”. Ernesto BENDA “Dignidad Humana y Derechos de la Personalidad”

Dato personal Cualquier información referida a una persona física. Que lo identifique o lo haga identificable

Dato personal La información concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología, y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales u otras análogas que afecten su intimidad. (Ley Federal de Transparencia y Acceso a la Información Pública de México. Artículo 3º)

Tipos de datos personales Dato público. Dato privado o sensible. Y en el Perú, dato de riesgo.

El derecho a la protección de datos personales Derecho a ser informado sobre el motivo de la recolección de datos y uso de los mismos. Derecho a conocer qué datos relativos al individuo existen en cada base de datos. Derecho de modificación, rectificación o cancelación de datos. Derecho de autorización para intercambiar los datos.

En el Perú La Constitución Política del Perú regula el derecho a solicitar información a las entidades públicas. Garantiza el no suministro de información, computarizada o no, que afecte la intimidad personal y familiar. La acción de Hábeas Data aparece como mecanismo de defensa ante la vulneración de estos derechos.

El número IP como dato personal

El correo electrónico como dato personal

El correo electrónico laboral y la protección de la privacidad Fin preventivo Fin de organización Fin de fiscalización Uso de los programas Boots

Constitución Política del Perú Artículo 2º, inciso 5º "A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional. El secreto bancario y la reserva tributaria pueden levantarse a pedido del juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado"

Constitución Política del Perú Artículo 2º, inciso 6º "A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar".

Hábeas Data Procede contra el hecho u omisión por parte de un funcionario o autoridad que vulnera los derechos del artículo 2º, incisos 5º y 6º. La demanda se presenta ante el juez civil, implicando al afectado el pago de abogado y la espera de una resolución judicial de admisión. A pesar de ser una acción de garantía es necesario la espera de un plazo para la resolución final.

Tratamiento de la información personal en la legislación peruana Código Penal Peruano. Ley Orgánica del Registro Nacional de Identificación y Estado Civil (RENIEC) - Ley Nº 26497. Ley General de la Persona con Discapacidad - Ley Nº 27050. Código de Ejecución Penal (Decreto Supremo 023-2001-JUS) Ley que regula las centrales privadas de información de riesgo y de información al titular de la información - Ley Nº 27849

Código Penal Peruano Artículo 157º "El que, indebidamente, organiza, proporciona o emplea cualquier archivo que tenga datos referentes a las convicciones políticas o religiosas y otros aspectos de la vida íntima de una o más personas, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años. Si el agente es funcionario o servidor público y comete el delito en ejercicio del cargo, la pena será no menor de tres ni mayor de seis años e inhabilitación (...)"

Código Penal Peruano Artículo 207-Aº ”El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceder, acceder, o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas”

Código Penal Peruano Artículo 207-Bº "El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa.

Código Penal Peruano Artículo 207-Cº "En los casos de los artículos 207º-A y 207º-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando: 1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo. 2. El agente pone en peligro la seguridad nacional.

Casos Venta de Bases de Datos Personales por Internet (denuncia Diario El Comercio, abril 2000). Venta de bases de datos vía correo electrónico. Acceso informal a la base de datos del RENIEC. Marketing electrónico.

Ley Orgánica del Registro Nacional de Identificación y Estado Civil - RENIEC Artículo 2º "El Registro Nacional de Identificación y Estado Civil es la entidad encargada de organizar y mantener el registro único de identificación de las personas naturales e inscribir los hechos y actos relativos a su capacidad y estado civil. Con tal fin desarrollará técnicas y procedimientos automatizados que permitan un manejo integrado y eficaz de la información"

Ley Orgánica del Registro Nacional de Identificación y Estado Civil - RENIEC Artículo 5º "La inscripción en el Registro se efectuará bajo criterios simplificados, mediante el empleo de formularios y de un sistema automático y computarizado de procedimiento de datos, que permita la confección de un registro único de identificación de todas las personas naturales, así como la asignación de un código único de identificación"

Ley Orgánica del Registro Nacional de Identificación y Estado Civil - RENIEC Artículo 7º (...) “j) Velar por el irrestricto respeto del derecho a la intimidad e identidad de la persona y los demás derechos inherentes a ella derivados de su inscripción en el registro. k) Garantizar la privacidad de los datos relativos a las personas que son materia de inscripción. l) Implementar, organizar, mantener y supervisar el funcionamiento de los registros dactiloscópico y pelmatoscópico de las personas”.

Ley General de la Persona con Discapacidad Dispone la Creación de un Registro Nacional de la Persona con Discapacidad. Dispone la protección de datos al establecer que la información será confidencial y utilizada sólo para fines estadísticos, científicos y técnicos. Dispone la constante actualización del registro con apoyo de la RENIEC y el Instituto nacional de Estadística e Informática.

Ley General de la Persona con Discapacidad El registro podrá desarrollarse utilizando técnicas y procedimientos automatizados que permitan el manejo íntegro y eficaz de la información. El reglamento establece el deber del ciudadano o ciudadana de actualizar sus datos. La mal utilización del registro puede llevar a actos discriminatorios, sobre todo en el campo laboral.

Código de Ejecución Penal Artículo 9º.- La información o datos personales contenidos en los archivos y ficheros penitenciarios gozarán de la garantía de la confidencialidad, salvo orden judicial.   Las autoridades penitenciarias que hubieran accedido estarán obligadas a guardar secreto profesional sobre los mismos, incluso después de que haya finalizado su relación con la administración penitenciaria. La administración penitenciaria adoptará las medidas necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado. Esta limitación no alcanza al tratamiento de datos con fines estadísticos o estudios criminológicos, sin utilizar información que permita la identificación del interno o interna”.

Código de Ejecución Penal Artículo 10º.- Los datos de carácter personal de los internos o internas que hayan sido recabados para determinar su tratamiento penitenciario, sólo podrán ser cedidos o difundidos a otras personas con el consentimiento expreso y por escrito del interno o interna.   Los internos o internas podrán solicitar al Poder Judicial o a la administración penitenciaria, según sea el caso, la rectificación o aclaración de sus datos de carácter personal contenidos en los archivos y ficheros penitenciarios que resulten inexactos o incompletos. Se informará de la decisión al interesado en un plazo de veinte días de presentada la solicitud.

Casos de protección de datos en la Defensoría del Pueblo Solicitud de intervención ante la RENIEC por negarse a rectificar datos, a pesar de la existencia de una resolución judicial. Utilización de datos personales e imagen en el sitio web de la Policía Nacional del Perú. Actualización de datos en el registro civil de la Municipalidad de San Juan del Lurigancho. Rectificación de datos en hospital público: cambio de término “incapacidad” por “discapacidad” . Informe sobre Acceso a la información Pública

El protector de datos personales y las agencias de protección de datos

Intentos de regulación de protección de datos personales Presentación del Proyecto de Ley sobre privacidad de los datos informáticos y la creación del comisionado para la protección de la privacidad (05/10/1999). Presentación del Proyecto de Ley sobre protección de datos personales. MINJUS. (2004)

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Centrales privadas de información de riesgos (CEPIRS).- Las empresas que en locales abiertos al público y en forma habitual recolecten y traten información de riesgos relacionada con personas naturales o jurídicas, con el propósito de difundir por cualquier medio mecánico o electrónico, de manera gratuita u onerosa, reportes de crédito acerca de éstas. No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la administración pública que tengan a su cargo registros o bancos de datos que almacenen información con el propósito de darle publicidad con carácter general, sin importar la forma como se haga pública dicha información.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Información de riesgos.- Información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Información sensible.- Información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su Artículo 2º inciso 6).

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Titular de la información.- La persona natural o jurídica a la que se refiere la información de riesgos. - Reporte de crédito.- Toda comunicación escrita o contenida en algún medio proporcionada por una CEPIR con información de riesgos referida a una persona natural o jurídica, identificada. - Banco de datos.- Conjunto de información de riesgos administrado por las CEPIRS, cualquiera sea la forma o modalidad de su creación, organización, almacenamiento, sistematización y acceso, que permita relacionar la información entre sí, así como procesarla con el propósito de transmitirla a terceros.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Recolección de información.- Toda operación o conjunto de operaciones o procedimiento técnico que permitan a las CEPIRS obtener información. - Fuentes de acceso público.- Información que se encuentra a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, que está recogida en medios tales como censos, anuarios, bases de datos o registros públicos, repertorios de jurisprudencia, archivos de prensa, guías telefónicas u otros medios análogos; así como las listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Tratamiento de información.- Toda operación o conjunto de operaciones o procedimiento técnico, de carácter automatizado o no, que permitan a las CEPIRS acopiar, almacenar, actualizar, grabar, organizar, sistematizar, elaborar, seleccionar, confrontar, interconectar, disociar, cancelar y, en general, utilizar información de riesgos para ser difundida en un reporte de crédito.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Difusión de información.- Toda operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan a las CEPIRS comunicar, ceder, transmitir, dar acceso o poner en conocimiento de terceros la información de riesgos contenida en sus bancos de datos. La información de fuente Registros Públicos deberá indicar obligatoriamente la fecha y hora de la obtención de la información y si ésta es sólo informativa.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS - Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos tanto de fuentes públicas como de fuentes privadas, sin necesidad de contar con la autorización del titular de la información, entendiéndose que la base de datos se conformará con toda la información de riesgo. - Las CEPIRS podrán adquirir información de las fuentes mencionadas en el párrafo precedente mediante la celebración de contratos privados directamente con la persona natural o jurídica que tenga o haya tenido relaciones civiles, comerciales, administrativas, bancarias, laborales o de índole análoga con el titular de la información, siempre y cuando ésta se refiera a los actos, situaciones, hechos, derechos y obligaciones materia de tales relaciones o derivadas de éstas y que no constituyan violación del secreto profesional.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Artículo 8º.- Información suministrada por los titulares Las CEPIRS podrán recolectar información de riesgos directamente de los titulares, debiendo previamente informarles a éstos de modo expreso, preciso e inequívoco lo siguiente: a)La existencia del banco de datos, la finalidad de la recolección de la información y los potenciales destinatarios de ésta; b)La identidad y dirección de la CEPIR que recolecta la información;  c c)El carácter facultativo de sus respuestas a las preguntas que le sean planteadas; d)Las posibles consecuencias de la obtención de la información; y, e) El alcance de los derechos desarrollados en el Título Cuarto de la presente Ley, así como de los procedimientos para hacerlos valer.   e)

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Cuando en la recolección de información se utilicen cuestionarios o cualquier otro medio impreso, se deberá entregar al titular de la información una copia de éstos en la que deberá figurar en forma claramente legible las indicaciones señaladas en los incisos precedentes. La carga probatoria de haber brindado la información antes detallada corresponde a las CEPIRS.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Artículo 10º.- Información excluida Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus reportes de crédito la siguiente información: a) Información sensible; b) Información que viole el secreto bancario o la reserva tributaria; c) Información ilegal, inexacta o errónea;  d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) la obligación se haya extinguido y hayan transcurrido 2 (dos) años desde su extinción; o (ii) 5 (cinco) años desde el vencimiento de la obligación . Estos plazos no rigen si el titular ejerce el derecho de cancelación de acuerdo a lo establecido en el inciso b) del artículo 13º de la presente Ley.

LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Derechos de los titulares de la información (art. 13): a) El derecho de acceso a la información referida a uno mismo registrada en tales bancos b) El derecho de modificación y el derecho de cancelación de la información referida a uno mismo registrada en tales bancos y que fuese ilegal, inexacta, errónea o caduca c) El derecho de rectificación de la información referida a uno mismo que haya sido difundida por las CEPIRS y que resulte ser ilegal, inexacta, errónea o caduca d) El derecho de actualización de la información referida a uno mismo, registrada en los bancos de datos , que no haya incluido pagos parciales o totales, siempre que hubiesen vencido los plazos establecidos en los incisos 15.7 y 15.8 del artículo 15º de la presente Ley.